RREGULLORE BE 679/2016 GDPR_SHQIP

RREGULLORE (BE) 2016/679 E PARLAMENTIT EVROPIAN DHE E KËSHILLIT
e datës 27 prill 2016KAPITULLI I
Dispozita të përgjithshme
Neni 1
Objekti dhe objektivat
1. Kjo Rregullore përcakton rregullat në lidhje me mbrojtjen e personave fizikë në lidhje me
përpunimin e të dhënave personale dhe rregulla në lidhje me lëvizjen e lirë të të dhënave
personale.
2. Kjo Rregullore mbron të drejtat dhe liritë themelore të personave fizikë dhe veçanërisht të
drejtën e tyre për të mbrojtur të dhënat personale.
3. Lëvizja e lirë e të dhënave personale brenda Bashkimit nuk kufizohet ose ndalohet për shkaqe
që kanë të bëjnë me mbrojtjen e personave fizikë për sa i takon përpunimit të të dhënave
personale.
Neni 2
Fusha e zbatimit lëndor
1. Kjo Rregullore zbatohet për përpunimin e të dhënave personale plotësisht ose pjesërisht me
mjete automatike dhe për përpunimin e ndryshëm nga me mjete automatike të të dhënave personale
që janë pjesë e sistemit të skedimit ose që destinohen të jenë pjesë e sistemit të skedimit.
2. Kjo Rregullore nuk zbatohet për përpunimin e të dhënave personale:
(a) në vazhdën e aktivitetit që del jashtë fushës së zbatimit të së drejtës së Bashkimit;
(b) nga Shtetet Anëtare gjatë kryerjes së aktiviteteve që përfshihen në sferën e Kapitullit 2 të
Titullit V të TEU-së;
(c) nga një person fizik në vazhdën e një aktiviteti thjesht personal ose familjar;
(d) nga autoritetet kompetente për qëllimet e parandalimit, hetimit, zbulimit ose ndjekjes penale të
veprave penale ose ekzekutimin e dënimeve penale, duke përfshirë garancitë ndaj dhe parandalimin e
kërcënimeve për sigurinë publike.
3. Për përpunimin e të dhënave personale nga institucionet, organet, zyrat dhe agjencitë e
Bashkimit, zbatohet Rregullorja (KE) Nr 45/2001. Rregullorja (EC) Nr 45/2001 dhe aktet e tjera
ligjore të Bashkimit të zbatueshme për këtë përpunim të të dhënave personale duhet të përshtatet me
parimet dhe rregullat e përcaktuara në këtë Rregullore në pajtim me Nenin 98.
4. Kjo Rregullore nuk cenon zbatimin e Direktivës 2000/31/EC, veçanërisht në lidhje me
rregullat për përgjegjësinë e ofruesve të shërbimit si ndërmjetës në Nenin 12 deri 15 të kësaj
Direktive.
Neni 3
Fusha e zbatimit territorial
1. Kjo Rregullore zbatohet për përpunimin e të dhënave personale në kontekstin e aktiviteteve të
një strukture të një kontrolluesi ose përpunuesi në Bashkim, pavarësisht nëse përpunimi kryhet
brenda Bashkimit.
2. Kjo Rregullore zbatohet për përpunimin e të dhënave personale të subjekteve të të dhënave
që janë në Bashkim nga një kontrollues ose përpunues që nuk është i vendosur në Bashkim, nëse
aktivitetet përpunuese kanë të bëjnë me:
(a) ofrimin e mallrave ose shërbimeve, pavarësisht nëse kërkohet një pagesë nga subjekti i të
dhënave, për këto subjekte të dhënash në Bashkim, ose
(b) Monitorimin e sjelljes së tyre, në masën që sjellja e tyre kryhet brenda Bashkimit.
3. Kjo Rregullore zbatohet për përpunimin e të dhënave personale nga një kontrollues që nuk
është i vendosur në Bashkim por në një vend ku e drejta e Shtetit Anëtar zbatohet në saj të së drejtës
ndërkombëtare publike.
Neni 4
Përkufizime
Për qëllimet e kësaj Rregulloreje:
(1) ‘të dhëna personale’ është çdo informacion në lidhje me një person fizik të identifikuar ose të
identifikueshëm (‘subjekt i të dhënave’); një person fizik i identifikueshëm është ai i cili mund të
identifikohet, drejtpërdrejtë ose jo drejtpërdrejtë, veçanërisht duke iu referuar një identifikuesi si një
emër, një numër identifikimi, të dhëna për vendndodhjen, një identifikues online, ose një apo më
shumë faktorë specifikë për identitetin fizik, psikologjik, gjenetik, mendor, ekonomik, kulturor ose
social të atij personi fizik;
(2) ‘përpunim’ është çdo operacion ose komplet operacionesh që kryhen me të dhënat personale
ose kompletet e të dhënave personale, me mjete automatike ose jo, si mbledhja, regjistrimi,
organizimi, strukturimi, ruajtja, përshtatja ose ndryshimi, tërheqja, konsultimi, përdorimi, deklarimi
nëpërmjet transmetimit, shpërndarja ose ofrimi, njësimi ose kombinimi, kufizimi, fshirja ose
asgjësimi;
(3) ‘kufizimi i përpunimit’ është shënjimi i të dhënave personale të ruajtura me synim kufizimin
e përpunimit të tyre në të ardhmen;
(4) ‘profilizimi’ është çdo formë e përpunimit automatik të të dhënave personale që konsiston në
përdorimin e të dhënave personale për të vlerësuar aspektet personale në lidhje me një person fizik
veçanërisht për të analizuar ose parashikuar aspekte në lidhje me mbarëvajtjen e personit në punë,
gjendjen ekonomike, shëndetin, preferencat personale, interesat, besueshmërinë, sjelljen,
vendndodhjen ose lëvizjet e tij;
(5) ‘anonimizim’ është përpunimi i të dhënave personale në një mënyrë të tillë që të dhënat
personale të mos vazhdojnë ti vishen një subjekti të caktuar të të dhënave pa përdorimin e
informacionit shtesë, me kusht që ky informacion shtesë të mbahet veçmas dhe tu nënshtrohet masave
teknike dhe organizative për të garantuar që të dhënat personale të mos i vishen një personi fizik të
identifikuar ose të identifikueshëm;
(6) ‘sistem skedimi’ është një komplet i strukturuar të dhënash personale që janë të aksesueshme
në pajtim me kriteret specifike, të centralizuara, decentralizuara ose të shpërndara mbi bazë
funksionale ose gjeografike;
(7) ‘kontrollues’ është personi fizik ose juridik, autoriteti publik, agjencia ose një organ tjetër, që
vetëm ose së bashku me të tjerë, përcakton qëllimet dhe mjetet e përpunimit të të dhënave personale;
nëse qëllimet dhe mjetet e këtij përpunimi përcaktohen nga e drejta e Bashkimit ose e Shtetit Anëtar,
kontrolluesi ose kriteret specifike për emërtimin e tij mund të parashikohen nga e drejta e Bashkimit
ose e Shtetit Anëtar;
(8) ‘përpunues’ është një person fizik ose juridik, autoritet publike, agjenci ose organ tjetër që
përpunon të dhëna personale në emër të kontrolluesit;
(9) ‘marrës’ është një person fizik ose juridik autoritet publik, agjenci ose organ tjetër, të cilit i
deklarohen të dhënat personale,qoftë palë e tretë ose jo. Megjithatë, autoritetet publike që mund të
marrin të dhëna personale në kuadrin e një hetimi të veçantë në pajtim me të drejtën e Bashkimit ose
Shtetit Anëtar nuk konsiderohen si marrës; përpunimi i këtyre të dhënave nga autoritetet publike janë
në pajtim me rregullat e zbatueshme për mbrojtjen e të dhënave sipas qëllimeve të përpunimit;
(10) ‘palë e tretë’ është një person fizik ose juridik, autoritet publik , agjenci ose organ i ndryshëm
nga subjekti i të dhënave, kontrolluesi, përpunuesi dhe personat që, sipas autoriteteve të drejtpërdrejtë
të kontrolluesit ose përpunuesit, janë autorizuar për të përpunuar të dhëna personale;
(11) ‘pëlqim’ i subjektit të të dhënave është një tregues i dhënë lirisht, specifik, i informuar dhe i
qartë i dëshirave të subjektit të të dhënave nëpërmjet të cilit ai ose ajo, me një deklarim ose me një
veprim të qartë pohues, shpreh pëlqimin e tij për përpunimin e të dhënave personale në lidhje me të;
(12) ‘shkelje e të dhënave personale’ është një shkelje e sigurisë që sjell asgjësimin, humbjen,
ndryshimin, deklarimin e paautorizuar, aksidental ose të paligjshëm, ose aksesin tek të dhënat
personale të transmetuara, të ruajtura ose të përpunuara ndryshe;
(13) ‘të dhëna gjenetike’ janë të dhënat personale në lidhje me karakteristikat gjenetike të
trashëguara ose të përftuara të një personi fizik që jep informacion unik në lidhje me fiziologjinë ose
shëndetin e atij personi fizik dhe që rezulton, veçanërisht, nga një analizë e një kampioni biologjik
nga personi fizik në fjalë;
(14) ‘të dhëna biometrike’ janë të dhënat personale që rezultojnë nga përpunimi specifik teknik në
lidhje me karakteristikat fizike, fiziologjike ose të sjelljes së një personi fizik që lejon ose konfirmon
identifikimin unik të atij personi fizik, si imazhet pamore ose të dhënat daktiloskopike;
(15) ‘të dhënat në lidhje me shëndetin’ janë të dhënat personale në lidhje me shëndetin fizik ose
mendor të një personi fizik, duke përfshirë dhënien e shërbimeve të kujdesit shëndetësor, që tregon
informacion në lidhje me gjendjen e tij ose të saj shëndetësore;
(16) ‘Struktura kryesore’ është:
(a) në lidhje me një kontrollues me struktura në më shumë se një Shtet Anëtar, vendi i
administratës së tij qendrore në Bashkim, përveç kur vendimet për qëllimet dhe mjetet e përpunimit të
të dhënave personale merren nga një strukturë tjetër i kontrolluesit në Bashkim dhe struktura e fundit
ka kompetencën që ti zbatohen vendimet dhe në këtë rast struktura që ka marrë vendime të tilla duhet
të konsiderohet struktura kryesore;
(b) në lidhje me një përpunues me struktura në më shumë se një Shtet Anëtar, vendi i
administrimit të tij qendror në Bashkim ose, nëse përpunuesi nuk ka administrim qendror në
Bashkim, struktura e përpunuesit në Bashkim nëse aktivitetet kryesore përpunuese në kontekstin e
aktiviteteve të një strukture të përpunuesit zhvillohen në masën që përpunuesi u nënshtrohet
detyrimeve specifike sipas kësaj Rregulloreje;
(17) ‘përfaqësues’ është një person fizik ose juridike i vendosur në Bashkim, i cili, i caktuar nga
kontrolluesi ose përpunuesi me shkrim në pajtim me Nenin 27, përfaqëson kontrolluesin ose
përpunuesin në lidhje me detyrimet e tyre përkatëse sipas kësaj Rregulloreje;
(18) ‘ndërmarrje’ është një person fizik ose juridik i angazhuar në një aktivitet ekonomik,
pavarësisht nga forma e tij ligjore, duke përfshirë partneritetet ose shoqatat që angazhohen rregullisht
në një aktivitet ekonomik;
(19) ‘grup ndërmarrjesh’ është një ndërmarrje kontrolli dhe ndërmarrjet e kontrolluara prej saj;
(20) ‘rregulla të brendshme detyruese’ janë politikat për mbrojtjen e të dhënave personale që
respektohen nga një kontrollues ose përpunues i vendosur në territorin e një Shteti Anëtar për
transferimet ose një komplet transferimesh të të dhënave personale tek një kontrollues ose përpunues
në një ose më shumë vende të tretë brenda një grupi ndërmarrjesh, ose një grupi ndërmarrjesh të
angazhuara në një aktivitet të përbashkët ekonomik;
(21) ‘autoritet mbikëqyrës’ është një autoritet publik i pavarur që është i vendosur nga një Shtet
Anëtar në pajtim me Nenin 51;
(22) ‘autoritet mbikëqyrës i interesuar’ është një autoritet mbikëqyrës që është i interesuar në
përpunimin e të dhënave personale, sepse:
(a) kontrolluesi ose përpunuesi është vendosur në territorin e Shtetit Anëtar të atij autoriteti
mbikëqyrës;
(b) subjektet e të dhënave me banim në Shtetin Anëtar të atij autoriteti mbikëqyrësi janë
thelbësisht të ndikuar ose mund të ndikohen thelbësisht nga përpunimi, ose
(c) është bërë një ankim tek ai autoritet mbikëqyrës;
(23) ‘përpunim ndër-kufitar’ është:
(a) përpunim i të dhënave personale që kryhet në kontekstin e aktiviteteve të strukturave në
më shumë se një Shtet Anëtar i kontrolluesit ose përpunuesit në Bashkim, nëse kontrolluesi ose
përpunuesi është i vendosur në më shumë se një Shtet Anëtar; ose
(b) Përpunimi i të dhënave personale që kryhet në kontekstin e aktiviteteve të një strukture të
vetme të një kontrolluesi ose përpunuesi në Bashkim, por që ndikon thelbësisht ose mund të ndikojë
thelbësisht të subjektet e të dhënave në më shumë se një Shtet Anëtar.
(24) ‘kundërshtim përkatës dhe i arsyetuar’ është një kundërshtim për një projekt-vendim në
lidhje me faktin nëse ka një shkelje të kësaj Rregulloreje, ose nëse veprimi i parashikuar në lidhje me
kontrolluesin ose përpunuesin është në përputhje me këtë Rregullore, që demonstron qartazi
rëndësinë e risqeve që rrjedhin nga projekt-vendimi në lidhje me të drejtat dhe liritë themelore të
subjekteve të të dhënave dhe, sipas rastit, fluksin e lirë të të dhënave personale brenda Bashkimit;
(25) ‘shërbim i shoqërisë së informacionit’ është një shërbim i sipas përcaktimit të Nenit 1(1) të
Direktivës (BE) 2015/1535 të Parlamentit Evropian dhe të Këshillit (1);
(26) ‘Organizatë ndërkombëtare’ është një organizatë dhe organet e veta vartëse të rregulluara nga
e drejta ndërkombëtare publike ose një organ tjetër që është i ngritur nga ose në bazë të një
marrëveshjeje ndërmjet dy ose më shumë vendeve.
KAPITULLI II
Parimet
Neni 5
Parimet në lidhje me përpunimin e të dhënave personale
1. Të dhënat personale:
(a) përpunohen në mënyrë të ligjshme, të drejtë dhe transparente në lidhje me subjektin e të
dhënave (‘ligjshmëria, drejtësia dhe transparenca’);
(b) Mblidhen për qëllime të specifikuara, të qarta dhe legjitime dhe nuk përpunohen më tej në një
mënyrë që nuk është në përputhje me ato qëllime; përpunimi i mëtejshëm për interesin publik,
qëllime të kërkimeve shkencore ose historike, në pajtim me Nenin 89(1), nuk konsiderohen të jenë në
mospërputhje me qëllimet fillestare (‘kufizimi i qëllimit’);
(c) të jenë të përshtatshme, të rëndësishme dhe të kufizuara në lidhje me qëllimet për të cilën ato
përpunohen (minimizimi i të dhënave’);
(d) të jenë të sakta dhe, sipas rastit, të mbahen të përditësuara; duhet të merret çdo hap i arsyeshëm
për të garantuar që të dhënat personale që janë të pasakta, duke pasur parasysh qëllimet për të cilat
janë përpunuar të fshihen ose të korrigjohen pa vonesë (‘saktësia’);
(e) të mbahen në një formë që lejon identifikimin e subjekteve të të dhënave jo më gjatë se sa
është e nevojshme për qëllimet për të cilat përpunohen të dhënat personale; të dhënat personale mund
të ruhen për afate me të gjata për sa kohë të dhënat personale përpunohen vetëm për qëllime arkivimi
në interes publik, qëllime të kërkimit shkencor ose historik ose qëllime statistikore në pajtim me
Nenin 89(1) në pajtim me zbatimin e masave të përshtatshme teknike dhe organizative që kërkohen
nga kjo Rregullore me qëllim që të garantohen të drejtat dhe liritë e subjekteve të të dhënave
(‘kufizimi i ruajtjes’);
(f) të përpunohen në një mënyrë që garanton siguri të përshtatshme të të dhënave personale, duke
përfshirë mbrojtjen ndaj përpunimit të paautorizuar ose të paligjshëm dhe ndaj humbjes, asgjësimit
ose dëmtimit aksidental, duke përdorur masat e përshtatshme teknike dhe organizative (‘integriteti
dhe konfidencialiteti’).
2. Kontrolluesi është përgjegjës dhe në gjendje të demonstrojë përputhshmërinë me paragrafin 1
(‘përgjegjshmëria’).
Neni 6
Ligjshmëria e përpunimit
1. Përpunimi është i ligjshëm vetëm nëse dhe në masën që zbatohet të paktën një nga sa më
poshtë:
(a) Subjekti i të dhënave ka dhënë pëlqimin për përpunimin e të dhënave të tij ose të saj personale
për një ose më shumë qëllime specifike;
(b) Përpunimi është i nevojshëm për përmbushjen e një kontrate ku subjekti i të dhënave është
palë ose me qëllim që të ndërmerren hapat me kërkesën e subjektit të të dhënave për të lidhur një
kontratë;
(c) Përpunimi është i nevojshëm për përputhshmërinë me një detyrim ligjor të cilit i nënshtrohet
kontrolluesi;
(d) përpunimi është i nevojshëm me qëllim që të mbrohen interesat jetike të subjektit të të dhënave
ose personave të tjerë fizikë;
(e) përpunimi është i nevojshëm për përmbushjen e një detyre të kryer në interes publik ose në
ushtrim të autoritetit zyrtar të veshur kontrolluesit;
(f) përpunimi është i nevojshëm për qëllimet e interesave legjitime të ndjekura nga kontrolluesi
ose një palë e tretë, përveç kur këta interesa tejkalohen nga interesat ose të drejtat dhe liritë themelore
të subjektit të të dhënave që kërkon mbrojtjen e të dhënave personale, veçanërisht nëse subjekti i të
dhënave është fëmijë.
Pika (f) i nën-paragrafit të parë nuk zbatohet për përpunimin e kryer nga autoritetet publike në
përmbushje të detyrave të tyre.
2. Shtetet Anëtare mund të mbajnë ose prezantojnë dispozita më specifike për të përshtatur
zbatimin e rregullave të kësaj Rregulloreje në lidhje me përpunimin për përputhshmërinë me pikat (c)
dhe (E) të paragrafit 1 nëpërmjet caktimit të kërkesave më specifike për përpunimin dhe masa të tjera
për të garantuar përpunimin e ligjshëm dhe të drejtë duke përfshirë për situata të tjera specifike
përpunuese sipas parashikimit në Kapitullin IX.
3. Baza për përpunimin e referuar në pikën (c) dhe (e) të paragrafit 1 përcaktohet nga:
(a) e drejta e Bashkimit; ose
(b) e drejta e Shtetit Anëtar të cilës i nënshtrohet kontrolluesi.
Qëllimi i përpunimit përcaktohet në të bazë ligjore ose, në lidhje me përpunimin e referuar në pikën
(e) të paragrafit 1, është i nevojshëm për përmbushjen e një detyre që kryhet në interesin publik ose
në ushtrim të autoritetit zyrtar të veshur kontrolluesit. Baza ligjore mund të përmbajë dispozita
specifike për të përshtatur aplikimin e rregullave të kësaj Rregulloreje, ndër të tjera: kushtet e
përgjithshme që rregullojnë ligjshmërinë e përpunimit nga kontrolluesi; tipat e të dhënave që i
nënshtrohet përpunimit; subjektet e të dhënave të interesuar; subjektet të cilave ose qëllimet për të
cilat mund të deklarohen të dhënat personale; kufizimi i qëllimit; afatet e ruajtjes; dhe operacionet e
përpunimit dhe procedurat e përpunimit, duke përfshirë masat për të siguruar një përpunim të
ligjshëm dhe të drejtë në lidhje me ato për situata të tjera specifike sipas parashikimit në Nenin IX. E
drejta e Bashkimit ose e Shtetit Anëtar përmbush një objektiv të interesit publik dhe është
proporcional me qëllimin legjitim të ndjekur.
4. Nëse përpunimi për një qëllim tjetër nga ai për të cilin janë mbledhur të dhëna personale nuk
bazohet në pëlqimin e subjektit të të dhënave ose në të drejtën e Bashkimit ose të Shtetit Anëtar që
përbën një masë të nevojshme dhe proporcional në një shoqëri demokratike për të garantuar
objektivat e përmendura në Nenin 23(1), kontrolluesi, me qëllim që të konstatohet nëse përpunimi për
një qëllim tjetër është në pajtim me qëllimin për të cilin janë mbledhur fillimisht të dhënat personale,
ndërmjet të tjerash, merr parasysh:
(a) çdo lidhje ndërmjet qëllimeve për të cilat janë mbledhur të dhënat personale dhe qëllimet e
përpunimit të mëtejshëm të synuar;
(b) kontekstin në të cilin janë mbledhur të dhënat personale, veçanërisht në lidhje me raportin
ndërmjet subjekteve të dhënave dhe kontrolluesit;
(c) natyrën e të dhënave personale, veçanërisht nëse përpunohen kategoritë e veçanta të t dhënave
personale, në pajtim me Nenin 9, ose nëse përpunohen të dhënat personale në lidhje me dënimet dhe
veprat penale, në pajtim me Nenin 10;
(d) pasojat e mundshme të përpunimit të synuar të mëtejshëm për subjektet e të dhënave;
(e) ekzistencën e garancive të përshtatshme, që mund të përfshijnë enkriptimin ose anonimizimin.
Neni 7
Kushtet për pëlqimin
1. Nëse përpunimi bazohet në pëlqim, kontrolluesi duhet të jenë në gjendje të demonstrojë që
subjekti i të dhënave ka dhënë pëlqimin për përpunimin e të dhënave të tij ose të saj personale.
2. Nëse pëlqimi i subjektit të të dhënave jepet në kontekstin e një deklarimi me shkrim që ka të
bëjë edhe me çështje të tjera, kërkesa për pëlqim duhet të paraqitet në një mënyrë që është qartësisht e
dallueshme nga çështjet e tjera, në një formë të kuptueshme dhe lehtësisht të aksesueshme, duke
përdorur gjuhë të qartë dhe të thjeshtë. Çdo pjesë e një deklarimi të tillë që përbën një shkelje të
kësaj Rregulloreje nuk është detyruese.
3. Subjekti i të dhënave ka të drejtën të tërheqë pëlqimin e tij ose të saj në çdo kohë. Tërheqja e
pëlqimit nuk ndikon në ligjshmërinë e përpunimit bazuar në pëlqim para tërheqjes. Para dhënies së
pëlqimit, subjekti i të dhënave vihet për këtë në dijeni. Tërheqja duhet të jetë aq e lehtë sa edhe
dhënia e pëlqimit.
4. Gjatë vlerësimit nëse pëlqimi është i dhënë lirisht, duhet të merret veçanërisht parasysh nëse,
ndërmjet të tjerash, përmbushja e një kontrate, duke përfshirë dhënien e një shërbimi, kushtëzohet me
pëlqimin për përpunimin e të dhënave personale që nuk është i nevojshëm për përmbushjen e asaj
kontrate.
Neni 8
Kushtet që zbatohen për pëlqimin e fëmijës në lidhje me shërbimet e shoqërisë së informacionit
1. Nëse pika (a) e Nenit 6(1), në lidhje me ofertën e shërbimeve të shoqërisë së informacionit
drejtpërdrejtë me një fëmijë, përpunimi i të dhënave personale të një fëmije është e ligjshme nëse
fëmija është të paktën 16 vjeç. Nëse fëmija është nën 16 vjeç, ky përpunim është i ligjshëm vetëm
nëse dhe në masën që ai pëlqen jepet ose autorizohet nga zotëruesi i përgjegjësisë prindërore për atë
fëmijë.
Shtetet Anëtare mund të parashikojnë me ligj një moshë më të ulët për këto qëllime, me kusht që kjo
moshë më e vogël të mos jetë poshtë 1 vjeç.
2. Kontrolluesi bën përpjekje të arsyeshme për të verifikuar në këto raste që pëlqimi jepet ose
autorizohet nga zotëruesi i përgjegjësisë prindërore për fëmijën, duke marrë parasysh teknologjinë e
disponueshme.
3. Paragrafi 1 nuk ndikon të drejtën e përgjithshme të kontratave të Shteteve Anëtare, si
rregullat për vlefshmërinë, lindjen ose efektin e një kontrate në lidhje me një fëmijë.
Neni 9
Përpunimi i kategorive të veçanta të të dhënave personale
1. Përpunimi i të dhënave personale që tregon origjinën racore ose etnike, bindjet politike,
bindjet fetare ose filozofike, anëtarësinë në bashkimet profesionale dhe përpunimi i të dhënave
gjenetike, të dhënave biometrike për qëllimet e identifikimit të një personi fizik në mënyrë unike, të
dhënat në lidhje me shëndetin ose të dhënat në lidhje me jetën seksuale ose orientin seksual të një
personi fizik është i ndaluar.
2. Paragrafi 1 nuk zbatohet nëse zbatohet një nga sa më poshtë:
(a) subjekti i të dhënave ka dhënë pëlqimin e qartë për përpunimin e atyre të dhënave personale
për një ose disa qëllime më specifike, përveç kur e drejta e Bashkimit ose e Shtetit Anëtar
parashikojnë që ndalimi i parashikuar në paragrafin 1 nuk mund të anulohet nga subjekti i të dhënave;
(b) përpunimi është i nevojshëm për përmbushjen e detyrimeve dhe ushtrimin e të drejtave
specifike të kontrolluesit ose të subjektit të të dhënave në sferën e së drejtës së punësimit, sigurimeve
shoqërore dhe mbrojtjes sociale, në masën që është i autorizuar nga e drejta e Bashkimit ose e Shtetit
Anëtar ose një marrëveshje kolektive sipas së drejtës së Bashkimit Evropian për garanci të
përshtatshme për të drejtat themelore dhe interesat e subjektit të të dhënave;
(c) përpunimi është i nevojshëm për të mbrojtur interesat jetikë të subjektit të të dhënave ose të një
personi tjetër fizik, nëse subjekti i të dhënave nuk është fizikisht ose ligjërisht në gjendje të japë
pëlqimin;
(d) përpunimi kryhet në vazhdën e aktiviteteve të tij të ligjshme me garanci të përshtatshme nga
një fondacion, shoqatë ose një organ tjetër jo-fitimprurës me një qëllim politik, filozofik, fetar ose të
bashkimeve profesionale dhe me kusht që përpunimi të ketë të bëjë vetëm me anëtarët ose ish-
anëtarët e organit ose personat që kanë kontakt të rregullt me të në lidhje me qëllimet e saj dhe që të
dhënat personale nuk deklarohen jashtë atij organi pa pëlqimin e subjekteve të të dhënave;
(e) përpunimi ka të bëjë me të dhënat personale që duket se bëhen publike nga subjektet e të
dhënave;
(f) përpunimi është i nevojshëm për ngritjen, ushtrimin ose mbrojtjen e pretendimeve ligjore ose
kurdoherë që gjykatat veprojnë në cilësinë e tyre gjyqësore;
(g) përpunimi është i nevojshëm në interesin thelbësor publik mbi bazën e së drejtës së Bashkimit
ose Shtetit Anëtar që është proporcional me qëllimin e ndjekur, respektimit të thelbit të së drejtës së
mbrojtjes së të dhënave dhe parashikojnë masa të përshtatshme dhe specifike për garantimin e të
drejtave themelore dhe interesave të subjektit të të dhënave;
(h) përpunimi është i nevojshëm për qëllimet e mjekësisë parandaluese ose të punës, për
vlerësimin e kapacitetit të punës së punonjësit, diagnozës mjekësore, dhënien e kujdesit shëndetësor
social,trajtimin,menaxhimin e sistemeve të kujdesit shëndetësor ose social dhe shërbimet mbi bazën e
së drejtës së Bashkimit ose Shtetit Anëtar ose në pajtim me kontratat me një profesionist shëndeti dhe
në pajtim me kushtet dhe garancitë e referuara në paragrafin 3;
(i) përpunimi është i nevojshëm për shkaqe të interesit publik në sferën e shëndetit publik si
mbrojtja ndaj kërcënimeve të rënda ndër-kufitare për shëndetin ose garantimin e standardeve të larta
të cilësisë dhe sigurisë të kujdesit shëndetësor dhe të produkteve mjekësore ose pajisjeve mjekësore,
mbi bazën e së drejtës së Bashkimit ose të Shtetit Anëtar që parashikon masa të përshtatshme dhe
specifike për të garantuar të drejtat dhe liritë e subjektit të të dhënave, veçanërisht fshehtësinë
profesionale;
(j) përpunimi është i nevojshëm për qëllimet e arkivimit në interes publik, qëllime të kërkimeve
shkencore ose historike ose qëllime statistikore në pajtim me Nenin 89(1) bazuar në të drejtën e
Bashkimit ose Shtetit Anëtar që do të jetë proporcional me qëllimin e ndjekur, respektimin e thelbit të
së drejtës për mbrojtjen e të dhënave dhe parashikon masa të përshtatshme dhe specifike për të
garantuar të drejtat themelore dhe interesat e subjektit të të dhënave.
3. Të dhënat personale të përmendura në paragrafin 1 mund të përpunohen për qëllimet e
përmendura në pikën (h) të paragrafit 2 nëse këto të dhëna përpunohen nga ose nën përgjegjësinë e
një profesionisti në pajtim me detyrimet e fshehtësisë profesionale sipas së drejtës së Bashkimit ose të
Shtetit Anëtar ose rregullave të vendosura nga organet kompetente të brendshme ose nga një person
tjetër që gjithashtu i nënshtrohet detyrimit të fshehtësisë sipas së drejtës së Bashkimit ose të Shtetit
Anëtar ose rregullave të vendosura nga organet kompetente të brendshme.
4. Shtetet Anëtare mund të mbajnë dhe prezantojnë kushte të tjera, duke përfshirë kufizimet, në
lidhje me përpunimin e të dhënave gjenetike, të dhënave biometrike ose të dhënat në lidhje me
shëndetin.
Neni 10
Përpunimi i të dhënave personale në lidhje me dënimet dhe veprat penale
Përpunimi i të dhënave personale në lidhje me dënimet dhe veprat penale ose masat përkatëse të
sigurisë bazuar në Nenin 6(1) kryhet vetëm nën kontrollin e autoritetit zyrtar ose nëse përpunimi
është i autorizuar nga e drejta e Bashkimit ose Shtetit Anëtar që parashikon garanci të përshtatshme
për të drejtat dhe liritë e subjekteve të të dhënave. Çdo regjistër i plotë i dënimeve penale mbahet
vetëm nën kontrollin e një autoriteti zyrtar.
Neni 11
Përpunimi që nuk kërkon identifikim
1. Nëse qëllimet për të cilat një kontrollues përpunon të dhëna personale nuk kërkon ose nuk
vazhdon të kërkojë identifikimin e një subjekti të dhënash nga kontrolluesi, kontrolluesi nuk është i
detyruar të mbajë, përftojë ose përpunojë informacion shtesë për të identifikuar subjektin e të dhënave
për qëllimin e vetëm të respektimit të kësaj Rregulloreje.
2. Nëse, në rastet e përmendura në paragrafin 1 të këtij Neni, kontrolluesi është në gjendje të
demonstrojë që ai nuk është në gjendje të identifikojë subjektin e të dhënave, kontrolluesi informon
përkatësisht subjektin e të dhënave, sipas rastit. Në këto raste, Nenet 15 deri 20 nuk zbatohen përveç
kur subjekti i të dhënave, për qëllimet e ushtrimit të të drejtave të tij ose të saj sipas këtyre Neneve,
jep informacion shtesë duke mundësuar identifikimin e tij ose të saj.
KAPITULLI III
Të drejtat e subjektit të të dhënave
Seksioni 1
Transparenca dhe modalitetet
Neni 12
Informimi transparent, komunikimi dhe modalitetet për ushtrimin e të drejtave të subjektit të
të dhënave
1. Kontrolluesi merr masat e përshtatshme për të dhënë çdo informacion të referuar në Nenet 13
dh 14 dhe çdo komunikim sipas Neneve 15 deri 22 dhe 34 në lidhje me përpunimin e të dhënave
personale që i nënshtrohen një formati konciz, transparent, të kuptueshëm dhe lehtësisht të
aksesueshëm, duke përdorur gjuhë të qartë dhe të pastër, veçanërisht për çdo informacion drejtuar
specifikisht një fëmije. Informacioni jepet me shkrim ose me mjete të tjera, duke përfshirë, sipas
rastit, me mjete elektronike. Nëse kërkohet nga subjekti i të dhënave, informacioni mund të jepet me
gojë, me kusht që identiteti i subjektit të të dhënave të provohet me mjete të tjera.
2. Kontrolluesi lehtëson ushtrimin e të drejtave të subjektit të të dhënave sipas Neneve 15 deri
22. Në rastet e përmendura në Nenin 11(2), kontrolluesi nuk refuzon të veprojë me kërkesën e
subjektit të të dhënave për ushtrimin e të drejtave të tij ose të saj sipas Neneve 15 deri 22, përveç kur
kontrolluesi demonstron që nuk është në gjendje të identifikojë subjektin e të dhënave.
3. Kontrolluesi jep informacion mbi veprimet e ndërmarra me kërkesë sipas Neneve 15 deri 22
për subjektin e të dhënave pa vonesë të panevojshme dhe në çdo rast brenda një muaji nga marrja e
kërkesës. Ky afat mund të zgjatet me dy muaj të tjerë nëse është e nevojshme, duke marrë parasysh
kompleksitetin dhe numrin e kërkesave. Kontrolluesi njofton subjektin e të dhënave për çdo zgjatje
të tillë brenda një muaji nga marrja e kërkesës, së bashku me shkaqet e vonesës. Kur subjekti i të
dhënave bën kërkesë me mjete në format elektronik informacioni jepet me mjete elektronike, sipas
rastit, përveç kur kërkohet ndryshe nga subjekti i të dhënave.
4. Nëse kontrolluesi nuk vepron në lidhje me kërkesën për subjektin e të dhënave, kontrolluesi
njofton subjektin e të dhënave pa vonesë dhe jo më vonë se një muaj nga marrja e kërkesës për
shkaqet për mosveprimin dhe mbi mundësinë e paraqitjes së kërkesës tek autoriteti mbikëqyrës dhe
paraqitjen e një mjeti gjyqësor mbrojtës.
5. Informacioni i dhënë sipas Neneve 13 dhe 14 dhe çdo komunikim dhe masë e ndërmarrë
sipas Neneve 15 deri 22 dhe 34 jepet falas. Nëse kërkesat nga një subjekt të dhënash duket se janë të
pabazuara ose të tepërta, veçanërisht për shkak të karakterit të tyre përsëritës, kontrolluesi mund të:
(a) caktojë një tarifë të arsyeshme duke marrë parasysh shpenzimet administrative të dhënies së
informacionit ose komunikimit ose marrjen e masës së kërkuar; ose
(b) refuzojë të veprojë në lidhje me kërkesën.
Kontrolluesi ka barrën e demonstrimit të karakterit haptazi të pabazuar ose të tepërt të kërkesës.
6. Pa cenuar Nenin 11, nëse kontrolluesi ka dyshime të arsyeshme në lidhje me identitetin e
personit fizik që bën kërkesën në lidhje me Nenet 15 deri 21, kontrolluesi mund të kërkojë dhënien e
informacionit shtesë të nevojshëm për konfirmimin e identitetit të subjektit të të dhënave.
7. Informacioni, që duhet tu jepet subjekteve të të dhënave në pajtim me Nenet 13 dhe 14,
mund të jepet i kombinuar me ikonat e standardizuara me qëllim që të ofrohet një vështrim i
përgjithshëm i përpunimit të synuar në një mënyrë të dukshme, të kuptueshme dhe lehtësisht të
lexueshme. Nëse ikonat ofrohen elektronikisht, ato duhet të jenë të lexueshme në mënyrë automatike.
8. Komisioni është i autorizuar të miratojë aktet e deleguara në pajtim me Nenin 92 për qëllimin
e përcaktimit të informacionit për tu paraqitur nga ikonat dhe procedurat për dhënien e ikonave të
standardizuara.
Seksioni 2
Informacioni dhe aksesi tek të dhënat personale
Neni 13
Informacioni që duhet të jepet nëse të dhënat personale mblidhen nga subjekti i të dhënave
1. Nëse të dhënat personale në lidhje me një subjekt të dhënash mblidhen nga subjekti i të
dhënave, kontrolluesi, në momentin kur përftohen të dhënat personale, i japin subjektit të të dhënave
informacionin e mëposhtëm:
(a) hollësitë e identitetit dhe kontaktit të kontrolluesit dhe, sipas rastit, të përfaqësuesit të
kontrolluesit;
(b) hollësitë e kontaktit të nëpunësit të mbrojtjes së të dhënave, sipas rastit;
(c) qëllimin e përpunimit për të cilin janë të destinuara të dhënat personale, si dhe bazën ligjore
për përpunimin;
(d) nëse përpunimi bazohet në pikën (f) të Nenit 6(1), interesat legjitime të ndjekura nga
kontrolluesi ose nga një palë e tretë;
(e) marrësit ose kategoritë e marrësve të të dhënave personale, sipas rastit;
(f) sipas rastit, faktin që kontrolluesi synon të transferojë të dhëna personale tek një vend i tretë
ose organizatë ndërkombëtare dhe ekzistencën ose mungesën e një vendimi përshtatshmërie të
Komisionit, ose në rastin e transferimeve të referuara në Nenin 46 ose 47, ose nën-paragrafin e dytë të
Nenit 49(1), referenca tek garancitë e përshtatshme ose të përshtatshme dhe mjetet me të cilat merret
një kopje e tyre ose ku ato janë ofruar.
2. Përveç informacionit të përmendur në paragrafin 1, kontrolluesi, në momentin kur përftohen
të dhënat personale, i jep subjektit të të dhënave informacionin e mëposhtëm shtesë të nevojshëm për
të garantuar një përpunim të drejtë dhe transparent:
(a) Afatin për të cilin ruhen të dhënat personale, ose nëse kjo nuk është e mundur, kriteret e
përdorura për të përcaktuar këtë afat;
(b) ekzistencën e së drejtës për të kërkuar nga kontrolluesi akses dhe korrigjimin ose fshirjen e të
dhënave personal ose kufizimin e përpunimit në lidhje me subjektin e të dhënave ose për të
kundërshtuar përpunimin, si dhe të drejtën për transferueshmërinë e të dhënave;
(c) nëse përpunimi bazohet në pikën (a) të Nenit 6(1) ose pikën (a) të Nenit 9(2), ekzistencën e së
drejtës për të tërhequr pëlqimin në çdo kohë, pa ndikuar në ligjshmërinë e përpunimit bazuar në
pëlqimin para tërheqjes së tij;
(d) të drejtën për të paraqitur një kërkesë tek autoriteti mbikëqyrës;
(e) nëse dhënia e të dhënave personale është një kërkesë ligjore ose kontraktuale, ose një kërkesë e
nevojshme për të lidhur një kontratë, si dhe nëse subjekti i të dhënave është i detyruar të jap të dhëna
personale dhe për pasojat e mundshme për mosdhënien e këtyre të dhënave;
(f) ekzistencën e vendimmarrjes së automatizuar, duke përfshirë profilizimin, të përmendur në
nenin 22(1) dhe (4) dhe, të paktën në ato raste, informacionin e duhur në lidhje me logjikën përkatëse,
si dhe rëndësinë dhe pasojat e parashikuara të këtij përpunimi për subjektin e të dhënave.
3. Nëse kontrolluesi synon të përpunojë më tej të dhëna personale për një qëllim të ndryshëm
nga ai për të cilin të dhënat personale janë mbledhur, kontrolluesi, para këtij përpunimi të mëtejshëm,
duhet ti japë subjektit të të dhënave informacion mbi qëllimin tjetër dhe çdo informacion tjetër të
nevojshëm, sipas referimit në paragrafin 2.
4. Paragrafët 1, 2 dhe 3 nuk zbatohen nëse dhe në masën që subjekti i të dhënave e ka
informacionin.
Neni 14
Informacioni që duhet të jepet nëse të dhënat personale nuk janë mbledhur nga subjekti i të
dhënave
1. Nëse informacioni nuk është marrë nga subjekti i të dhënave, kontrolluesi i jep subjektit të të
dhënave informacionin e mëposhtëm:
(a) hollësitë e identitetit dhe kontaktit të kontrolluesit dhe, sipas rastit, të përfaqësuesit të
kontrolluesit;
(b) hollësitë e kontaktit të nëpunësit të mbrojtjes së të dhënave, sipas rastit;
(c) qëllimin e përpunimit për të cilin janë të destinuara të dhënat personale, si dhe bazën ligjore
për përpunimin;
(d) kategoritë e të dhënave personale përkatëse;
(e) marrësit ose kategoritë e marrësve të të dhënave personale, sipas rastit;
(f) sipas rastit, që kontrolluesi synon të transferojë të dhëna personale tek një marrës në një vend
të tretë ose organizatë ndërkombëtare dhe ekzistencën ose mungesën e një vendimi përshtatshmërie të
Komisionit, ose në rastin e transferimeve të referuara në Nenin 46 ose 47, ose nën-paragrafin e dytë të
Nenit 49(1), referenca tek garancitë e përshtatshme ose të përshtatshme dhe mjetet me të cilat merret
një kopje e tyre ose ku ato janë ofruar.
2. Përveç informacionit të referuar në paragrafin 1, kontrolluesi i jep subjektit të të dhënave
informacionin e mëposhtëm për të garantuar një përpunim të drejtë dhe transparent në lidhje me
subjektin e të dhënave:
(a) afatin për të cilin ruhen të dhënat personale, ose nëse kjo nuk është e mundur, kriteret e
përdorura për të përcaktuar këtë afat;
(b) nëse përpunimi bazohet në pikën (f) të Nenit 6(1), interesat legjitime të ndjekura nga
kontrolluesi ose nga një palë e tretë;
(c) ekzistencën e së drejtës për të kërkuar nga kontrolluesi akses dhe korrigjimin dhe fshirjen e të
dhënave personale ose kufizimin e përpunimit në lidhje me subjektin e të dhënave ose për të
kundërshtuar përpunimin, si dhe të drejtën për transferimin e të dhënave;
(d) nëse përpunimi bazohet në pikën (a) të Nenit 6(1) ose pikën (a) të Nenit 9(2), ekzistencën e së
drejtës për të tërhequr pëlqimin në çdo kohë, pa ndikuar në ligjshmërinë e përpunimit bazuar në
pëlqimin para tërheqjes së tij;
(e) të drejtën për të paraqitur një kërkesë tek autoriteti mbikëqyrës;
(f) Nga cili burim e kanë origjinën të dhënat personale, dhe sipas rastit, nëse kanë ardhur nga një
burim i aksesueshëm publikisht;
(g) ekzistencën e vendimmarrjes së automatizuar, duke përfshirë profilizimin, të përmendur në
nenin 22(1) dhe (4) dhe, të paktën në ato raste, informacionin e duhur në lidhje me logjikën përkatëse,
si dhe rëndësinë dhe pasojat e parashikuara të këtij përpunimi për subjektin e të dhënave.
3. Kontrolluesi jep informacionin e përmendur në paragrafin 1 dhe 2:
(a) brenda një afati të arsyeshëm pas marrjes së të dhënave personale, por jo më vonë se një muaj,
duke pasur parasysh rrethanat specifike në të cilat përpunohen të dhënat personale;
(b) nëse të dhënat personale do të përdoren për komunikimin me subjektin e të dhënave, jo më
vonë se komunikimi i parë me atë subjekt të dhënash, ose
(c) nëse parashikohet deklarimi ndaj një marrësi tjetër, jo më vonë se kur deklarohen për herë të
parë të dhënat personale.
4. Nëse kontrolluesi synon të përpunojë më tej të dhëna personale për një qëllim të ndryshëm
nga ai për të cilin të dhënat personale janë përftuar, kontrolluesi, para këtij përpunimi të mëtejshëm,
duhet ti japë subjektit të të dhënave informacion mbi qëllimin tjetër dhe çdo informacion tjetër të
nevojshëm, sipas referimit në paragrafin 2.
5. Paragrafët 1 deri 4 nuk zbatohen nëse dhe në masën që:
(a) subjekti i të dhënave e ka informacionin;
(b) dhënia e këtij informacioni duket i pamundur ose do të përfshinte një përpjekje jo-
proporcionale, veçanërisht për përpunimin për qëllime arkivimi në interesin publik, qëllime të
kërkimeve shkencore ose historike, qëllime statistikore, në pajtim me kushtet dhe garancitë e
referuara në Nenin 89(1) ose në masën që detyrimi i referuar në paragrafin 1 të këtij Neni mund ta
bëjë të pamundur ose rrezikojë seriozisht arritjen e objektivave të këtij përpunimi. Në këto raste
kontrolluesi merr masat e përshtatshme për të mbrojtur të drejtat dhe liritë dhe interesat legjitime të
subjekteve të të dhënave, duke përfshirë ofrimin e informacionit publikisht;
(c) marrja ose deklarimi parashikohet shprehimisht nga e drejta e Bashkimit ose e Shtetit Anëtar të
cilit i nënshtrohet kontrolluesi dhe që merr masa të përshtatshme për të mbrojtur interesat legjitime të
subjektit të të dhënave; ose
(d) nëse të dhënat personale duhet të mbeten konfidenciale duke iu nënshtruar një detyrimi të
fshehtësisë profesionale të rregulluar nga e drejta e Bashkimit ose e Shtetit Anëtar, duke përfshirë një
detyrim ligjor të fshehtësisë.
Neni 15
E drejta e aksesit nga subjekti i të dhënave
1. Subjekti i të dhënave ka të drejtën të marrë konfirmimin nga kontrolluesi nëse po përpunohen
ose jo të dhënat që kanë të bëjnë me të dhe, nëse është rasti, akses tek të dhënat personale dhe
informacionin e mëposhtëm:
(a) qëllimet e përpunimit;
(b) kategoritë e të dhënave personale përkatëse;
(c) marrësit ose kategoritë e marrësve të cilëve u janë ose do t’u deklarohen të dhënat personale,
veçanërisht marrësit në vendet e tretë ose organizatat ndërkombëtare;
(d) sipas rastit, afati i parashikuar gjatë të cilit do të ruhen të dhënat personale, ose, nëse nuk është
e mundur, kriteret e përdorura për të përcaktuar atë afat;
(e) ekzistencën e së drejtës për të kërkuar nga kontrolluesi korrigjimin ose fshirjen e të dhënave
personale ose kufizimin e përpunimit të të dhënave personale në lidhje me subjektin e të dhënave ose
për të kundërshtuar një përpunim të tillë;
(f) të drejtën për të paraqitur një kërkesë tek autoriteti mbikëqyrës;
(g) nëse të dhënat personale nuk mblidhen nga subjekti i të dhënave, çdo informacion të
disponueshëm si dhe burimin e tyre;
(h) ekzistencën e vendimmarrjes së automatizuar, duke përfshirë profilizimin, të përmendur në
nenin 22(1) dhe (4) dhe, të paktën në ato raste, informacionin e duhur në lidhje me logjikën përkatëse,
si dhe rëndësinë dhe pasojat e parashikuara të këtij përpunimi për subjektin e të dhënave.
2. Nëse të dhënat personale transferohen tek një vend i tretë ose tek një organizatë
ndërkombëtare, subjekti i të dhënave ka të drejtën të informohet për garancitë e përshtatshme në
pajtim me nenin 46 në lidhje me transferimin.
3. Kontrolluesi jep një kopje të të dhënave personale që i nënshtrohet përpunimit. Për çdo kopje
tjetër të kërkuar nga subjekti i të dhënave, kontrolluesi mund të caktojë një tarifë të përshtatshme
bazuar në shpenzimet administrative. Nëse subjekti i të dhënave e bën kërkesën me mjete elektronike
dhe, përveç kur kërkohet ndryshe nga subjekti i të dhënave, informacioni jepet në një format
elektronik të përdorur bashkërisht.
4. E drejta për të përftuar kopjen e përmendur në paragrafin 3 nuk ndikon negativisht të drejtat
dhe liritë e të tjerëve.
Seksioni 3
Korrigjimi dhe fshirja
Neni 16
E drejta e korrigjimit
Subjekti i të dhënave ka të drejtën të përftojë nga kontrolluesi pa vonesë të panevojshme korrigjimin
e të dhënave personale të pasaktë në lidhje me të. Duke marrë parasysh qëllimet e përpunimit,
subjekti i të dhënave ka të drejtën ti plotësohen të dhënat personale të paplota, duke përfshirë
nëpërmjet bërjes së një deklarimi shtesë.
Neni 17
E drejta e fshirjes (‘e drejta për tu harruar’)
1. Subjekti i të dhënave ka të drejtën të që kontrolluesi të bëjë fshirjen e të dhënave personale në
lidhje me të pa vonesë dhe kontrolluesi ka detyrimin të fshijë të dhënat personale pa vonesë të
panevojshme, nëse zbatohet një prej shkaqeve të mëposhtme:
(a) të dhënat personale nuk janë më të nevojshme në lidhje me qëllimet për të cilat ato janë
mbledhur ose përpunuar;
(b) subjekti i të dhënave e tërheq pëlqimin mbi të cilin bazohet përpunimi sipas pikës (a) të nenit
6(1), ose pikës (a) të nenit 9(2), dhe nëse nuk ka shkak tjetër ligjor për përpunimin;
(c) subjekti i të dhënave e kundërshton përpunimin në pajtim me nenin 21(1) dhe nuk ka shkaqe
legjitime mbizotëruese për përpunimin, ose subjekti i të dhënave e kundërshton përpunimin në pajtim
me Nenin 21(2);
(d) të dhënat personale janë përpunuar në mënyrë të paligjshme;
(e) të dhënat personale duhet të fshihen për të përmbushur një detyrim ligjor në të drejtën e
Bashkimit ose Shtetit Anëtar të cilit i nënshtrohet kontrolluesi;
(f) të dhënat personale janë mbledhur në lidhje me ofertën e shërbimeve të shoqërisë së
informacionit të referuara në Nenin 8(1).
2. Nëse kontrolluesi i ka bërë të dhënat personale publike dhe është i detyruar sipas paragrafit 1
ti fshijë të dhënat personale, kontrolluesi, duke marrë parasysh teknologjinë e disponueshme dhe
shpenzimet për zbatimin, ndërmerr hapat e arsyeshëm, duke përfshirë masat teknike, për të informuar
kontrolluesit që po përpunojnë të dhënat personale që subjekti i të dhënave ka kërkuar fshirjen nga
këta kontrollues të çdo lidhjeje ose kopje apo përsëritje të këtyre të dhënave personale.
3. Paragrafët 1 dhe 2 nuk zbatohen në masën që përpunimi është i nevojshëm:
(a) për ushtrimin e së drejtës së lirisë së shprehjes dhe informimit;
(b) për përmbushjen e një detyrimi ligjor që kërkon përpunimin nga e drejta e Bashkimit ose
Shtetit Anëtar të cilit i nënshtrohet kontrolluesi ose për përmbushjen e një detyre në interesin publik
ose në ushtrim të autoritetit zyrtar të veshur kontrolluesit
(c) për shkaqe të interesit publik në sferën e shëndetit publik në pajtim me pikat (h) dhe (i) të nenit
9(2) si dhe të nenit 9(3);
(d) për qëllime arkivimi në interesin publik ose qëllime të kërkimit shkencor ose historik ose
qëllime statistikore në pajtim me Nenin 89(1), në masën që e drejta e përmendur në paragrafin 1
mund ta bëjë të pamundur ose ta rrezikojë rëndë arritjen e objektivave të atij përpunimi; ose
(e) për ngritjen, ushtrimin ose mbrojtjen e të pretendimeve ligjore.
Neni 18
E drejta e kufizimit të përpunimit
1. Subjekti i të dhënave ka të drejtën të përftojë nga kontrolluesi kufizimin e përpunimit nëse
zbatohet një nga sa më poshtë:
(a) saktësia e të dhënave personale kundërshtohet nga subjekti i të dhënave për një afat që i
mundëson kontrolluesit të verifikojë saktësinë e të dhënave personale;
(b) përpunimi është i paligjshëm dhe subjekti i të dhënave e kundërshton fshirjen e të dhënave
personale dhe në vend të saj kërkon kufizimin e përdorimit të tyre;
(c) kontrolluesit nuk vazhdojnë ti duhen të dhënat personale për qëllimet e përpunimit, por ato
kërkohen nga subjekti i të dhënave për ngritjen, ushtrimin ose mbrojtjen e pretendimeve ligjore;
(d) subjekti i të dhënave e ka kundërshtuar përpunimin në pajtim me Nenin 21(1)në pritje të
verifikimit nëse shkaqe legjitime të kontrolluesit mbizotërojnë ato të subjektit të të dhënave.
2. Nëse përpunimi është kufizuar sipas paragrafit 1, këto të dhëna personale, me përjashtim të
ruajtjes, përpunohen vetëm me pëlqimin e subjektit të të dhënave për ngritjen, ushtrimin ose
mbrojtjen e pretendimeve ligjore ose për mbrojtjen e të drejtave të një personi tjetër fizik ose juridik
ose për shkaqe të interesit të rëndësishëm publik të Bashkimit ose të një Shteti Anëtar.
3. Një subjekt të dhënash që ka përftuar kufizimin e përpunimit në pajtim me paragrafin 1
informohet nga kontrolluesi para revokimit të kufizimit të përpunimit.
Neni 19
Detyrimi i njoftimit në lidhje me korrigjimin ose fshirjen e të dhënave personale ose kufizimin e
përpunimit
Kontrolluesi komunikon çdo korrigjim ose fshirje të të dhënave personale ose kufizim të përpunimit
të kryer në pajtim me Nenin 16, nenin 17(1) dhe Nenin 18 për çdo marrës të cilit i janë deklaruar të
dhënat personale, përveç kur kjo duhet e pamundur ose lidhet me përpjekje jo-proporcionale.
Kontrolluesi njofton subjektin e të dhënave në lidhje me këta marrës nëse subjekti i të dhënave e
kërkon këtë.
Neni 20
E drejta e transferueshmërisë së të dhënave
1. Subjekti i të dhënave ka të drejtën të marrë të dhëna personale në lidhje me të, që ai ose ajo i
ka dhënë kontrolluesit, në një format të strukturuar, të përdorur gjerësisht dhe të lexueshëm
automatikisht dhe ka të drejtën për të transmetuar ato të dhëna tek një kontrollues tjetër pa pengesë
nga një kontrollues të cilit i janë dhënë të dhënat personale, nëse:
(a) përpunimi bazohet në pëlqimin në pajtim me pikën (a) të nenit 6(1) ose pikën (a) të nenit 9(2)
ose në një kontratë në pajtim me pikën (b) të nenit 6(1); dhe
(b) përpunimi bëhet me mjete automatike.
2. Në ushtrimin e të drejtës së tij ose të saj për transferueshmërinë në pajtim me paragrafin 1,
subjekti i të dhënave ka të drejtën për transferimin e të dhënave personale nga një kontrollues në
tjetrin, nëse është teknikisht e mundur.
3. Ushtrimi i së drejtës së përmendur në paragrafin 1 të këtij Neni nuk e prek Nenin 17. Kjo e
drejtë nuk zbatohet në përpunimin e nevojshëm për përmbushjen e një detyre të kryer në interesin
publik ose në ushtrim të një autoriteti zyrtar të veshur kontrolluesit.
4. E drejta e përmendur në paragrafin 1 nuk ndikon negativisht në të drejtat dhe liritë e të
tjerëve.
Seksioni 4
E drejta për të kundërshtuar dhe vendimmarrja individuale automatike
Neni 21
E drejta për të kundërshtuar
1. Subjekti i të dhënave ka të drejtën për të kundërshtuar, për shkaqe në lidhje me situatën e
veçantë të tij ose të saj, në çdo kohë përpunimin e të dhënave personale në lidhje me të që bazohet në
pikën (e) ose (f) të nenit 6(1), duke përfshirë profilizimin e bazuar në këto dispozita. Kontrolluesi nuk
vazhdon të përpunojë të dhëna personale përveç kur kontrolluesi demonstron shkaqe detyruese
legjitime për përpunimin që mbizotërojnë mbi interesat, të drejtat dhe liritë e subjektit të të dhënave
për ngritjen, ushtrimin ose mbrojtjen e pretendimeve ligjore.
2. Nëse të dhënat personale përpunohen për qëllime të drejtpërdrejta marketingu, subjekti i të
dhënave ka të drejtën të kundërshtojë në çdo kohë përpunimin e të dhënave personale në lidhje me të
për këtë marketing, që përfshin profilizimin në masën që ai ligjet me këtë marketing.
3. Nëse subjekti i të dhënave kundërshton përpunimin për qëllime të drejtpërdrejta marketing, të
dhënat personale nuk vazhdojnë të përpunohen për këto qëllime.
4. Jo më vonë se në momentin e komunikimit të parë me subjektin e të dhënave, e drejta e
referuar në paragrafët 1 dhe 2 sillet shprehimisht në vëmendjen e subjektit të të dhënave dhe i
paraqitet qartazi dhe veçmas nga çdo informacion tjetër.
5. Në kontekstin e përdorimit të shërbimeve të shoqërisë së informacionit dhe pavarësisht
Direktivës 2002/58/KE, subjekti i të dhënave mund të ushtrojë të drejtën e tij ose të saj për të
kundërshtuar mjetet automatike që përdorin specifikime teknike.
6. Nëse të dhënat personale përpunohen për qëllime të kërkimeve shkencore ose historike ose
qëllime statistikore në pajtim me Nenin 89(1), subjekti i të dhënave, për shkaqe në lidhje me gjendjen
e tij ose të veçantë, ka të drejtën të kundërshtojë përpunimin e të dhënave personale në lidhje me të,
përveç kur përpunimi është i nevojshëm për përmbushjen e një detyre të kryer për shkaqe të interesit
publik.
Neni 22
Vendim-marrja e automatizuar individuale, duke përfshirë profilizimin
1. Subjekti i të dhënave ka të drejtën të mos i nënshtrohet një vendimi të bazuar vetëm në një
përpunim automatik duke përfshirë profilizimin, që prodhon efekte në lidhje me të ose ndikon në
mënyrë të ngjashme atë.
2. Paragrafi 1 nuk zbatohet nëse vendimi:
(a) është i nevojshëm për të lidhur ose përmbushur një kontratë ndërmjet subjektit të të dhënave
dhe një kontrolluesi të dhënash;
(b) autorizohet nga e drejta e Bashkimit ose e Shtetit Anëtar të cilit i nënshtrohet kontrolluesi dhe
që përcakton edhe masat e përshtatshme për të garantuar të drejtat dhe liritë dhe interesat legjitime e
subjektit të të dhënave; ose
(c) bazohet në pëlqimin e qartë të subjektit të të dhënave.
3. Në rastet e referuara në pikat (a) dhe (c) të paragrafit 2, kontrolluesi i të dhënave zbaton masa
të përshtatshme për të garantuar të drejtat dhe liritë dhe interesat legjitime të subjektit të të dhënave,
të paktën të drejtën për të realizuar ndërhyrjen e njeriut nga ana e kontrolluesit, për të shprehur
këndvështrimin e tij dhe për të kundërshtuar vendimin.
4. Vendimet e përmendura në paragrafin 2 nuk bazohen në kategoritë e veçanta të të dhënave
personale të përmendura në Nenin 9(1), përveç kur pika (a) ose (g) e nenit 9(2) zbatohet dhe masat e
përshtatshme për të garantuar të drejtat, liritë dhe interesat legjitime të subjektit të të dhënave janë në
fuqi.
Seksioni 5
Kufizimet
Neni 23 Kufizimet
1. E drejta e Bashkimit ose e Shtetit Anëtar të cilit i nënshtrohet kontrolluesi ose përpunuesi i të
dhënave mund të kufizojë nëpërmjet një mase legjislative objektin e detyrimeve dhe të drejtave të
parashikuara në Nenet 12 deri 22 dhe Nenin 34, si dhe Nenin 5, në masën që dispozitat e saj
përputhen me të drejtat dhe detyrimet e parashikuara në nenet 12 deri 22, nëse një kufizim i tillë
respekton thelbin e të drejtave dhe lirive themelore dhe është një masë e nevojshme dhe
proporcionale në një shoqëri demokratike për të garantuar:
(a) sigurinë kombëtare;
(b) mbrojtjen;
(c) sigurinë publike;
(d) parandalimin, hetimin, zbulimin ose ndjekjen penale të veprave penale ose ekzekutimin e
dënimeve penale, duke përfshirë garantimin ndaj parandalimit të kërcënimeve për sigurinë publike;
(e) objektiva të tjera të rëndësishme të interesit të përgjithshëm publik të Bashkimit ose të një
Shteti Anëtar, veçanërisht një interes i rëndësishëm ekonomik ose financiar i Bashkimit ose i një
Shteti Anëtar, duke përfshirë çështjet monetare, buxhetore ose të tatimeve, shëndetit publik dhe
sigurisë sociale;
(f) mbrojtja e pavarësisë gjyqësore dhe e procedimeve gjyqësore;
(g) parandalimin, hetimin, zbulimin dhe ndjekjen penale të shkeljes së etikës për profesionet e
rregulluara;
(h) një funksion monitorues, inspektues ose rregullator që lidhet, edhe rastësisht, me ushtrimin e
autoritetit zyrtar në rastet e përmendura në pikat (a) deri (e) dhe (g);
(i) mbrojtjen e subjektit të të dhënave ose të të drejtave dhe lirive të të tjerëve;
(j) ekzekutimin e pretendimeve sipas së drejtës civile.
2. Veçanërisht, çdo masë legjislative e përmendur në paragrafin 1 përmban dispozita specifike
të paktën, sipas rastit, në lidhje me:
(a) qëllimet e përpunimit ose kategoritë e përpunimit;
(b) kategoritë e të dhënave personale;
(c) objektin e kufizimeve të prezantuara;
(d) garancitë për të parandaluar abuzimin ose aksesin ose transferimin e paligjshëm;
(e) specifikimin e kontrolluesit ose kategorive të kontrolluesit;
(f) afatet e ruajtjes dhe garancitë e zbatueshme duke marrë parasysh natyrën, objektin dhe
qëllimet për përpunimin ose kategoritë e përpunimit;
(g) risqet për të drejtat dhe liritë e subjekteve të të dhënave; dhe
(h) të drejtën e subjekteve të të dhënave për tu informuar në lidhje me kufizimin, përveç kur kjo
mund të jetë në dëm të qëllimit të kufizimit.
KAPITULLI IV
Kontrolluesi dhe përpunuesi
Seksioni 1
Detyrime të përgjithshme
Neni 24
Përgjegjësia e kontrolluesit
1. Duke marrë parasysh natyrën, objektin, kontekstin dhe qëllimet e përpunimit si dhe risqet me
eventualitet variabël dhe ashpërsinë për të drejtët dhe liritë e personave fizikë, kontrolluesi zbaton
masa të përshtatshme teknike dhe organizative për të garantuar qenien në gjendje për të demonstruar
që përpunimi të kryhet në pajtim me këtë Rregullore. Këto masa rishikohen dhe përditësohen sipas
nevojës.
2. Nëse është proporcionale në lidhje me aktivitetet përpunuese, masat e përmendura në
paragrafin 1 përfshijnë zbatimin e politikave të përshtatshme për mbrojtjen e të dhënave nga
kontrolluesi.
3. Respektimi i kodeve të aprovuar të sjelljes sipas referencën në Nenin 40 ose mekanizmave të
aprovuara për certifikimin sipas referimit në Nenin 42 mund të përdoret si një element nëpërmjet të
cilit të demonstrohet përputhshmëri me detyrimet e kontrolluesit.
Neni 25
Mbrojtja e të dhënave në mënyrë konkrete dhe rastësore
1. Duke marrë parasysh gjendjen e teknikës, koston e zbatimit dhe natyrën, objektin, kontekstin
dhe qëllimet e përpunimit si dhe risqet me eventualitet variabël dhe ashpërsinë për të drejtat dhe liritë
e personave fizikë që rrjedhin nga përpunimi, kontrolluesi, në momentin e përcaktimit të mjeteve të
përpunimit dhe në momentin e vetë përpunimit zbatojnë masa të përshtatshme teknike dhe
organizative, si anonimizimi, që janë të destinuara për të zbatuar parimet e mbrojtjes së të dhënave, si
minimizimi i të dhënave, në një mënyrë të efektshme për të integruar garancitë e nevojshme në
përpunim me qëllim që të përmbushen kërkesat e kësaj rregulloreje dhe mbrojtur të drejtat e
subjekteve të të dhënave.
2. Kontrolluesi zbaton masat e përshtatshme teknike dhe organizative për të garantuar që, në
mënyrë rastësore, të përpunohen vetëm të dhënat personale që janë të nevojshme për secilin qëllim
specifik të përpunimit. Ky detyrim zbatohet për shumën e të dhënave personale që janë mbledhur,
masën e përpunimit të tyre, afatin e ruajtjes së tyre dhe aksesueshmërisë së tyre. Veçanërisht, këto
masa garantojnë që të dhënat personale nuk bëhen të aksesueshme në mënyrë rastësore pa ndërhyrjen
e individit për një numër të pacaktuar të personave fizikë.
3. Një mekanizëm e aprovuar certifikimi në pajtim me Nenin 42 mund të përdoret si një element
për të demonstruar përputhshmëri me kërkesat e parashikuara në paragrafët 1 dhe 2 të këtij Neni.
Neni 26
Kontrolluesit e përbashkët
1. Nëse dy ose më shumë kontrollues përcaktojnë së bashku qëllimet dhe mjetet e përpunimit,
ato quhen kontrollues të përbashkët. Ata përcaktojnë në një mënyrë transparente përgjegjësitë e tyre
përkatëse për përputhshmërinë me detyrimet sipas kësaj Rregulloreje, veçanërisht në lidhje me
ushtrimin e të drejtave të subjekteve të të dhënave dhe detyrat e tyre përkatëse për të dhënë
informacionin e referuar në Nenet 13 dhe 14, nëpërmjet një mase ndërmjet tyre, përveç kur dhe në
masën që, përgjegjësitë përkatëse të kontrolluesve janë të përcaktuara nga e drejta e Bashkimit ose e
Shtetit Anëtar të cilit i nënshtrohen kontrolluesit. Masa mund të përcaktojë një pikë kontakti për
subjektet e të dhënave.
2. Masa e referuar në paragrafin 1 reflekton si duhen rolet dhe raportet e kontrolluesve të
përbashkët kundrejt subjekteve të të dhënave. Thelbi i masës i bëhet e ditur subjektit të të dhënave.
3. Pavarësisht nga termat e masës së përmendur në paragrafin 1, subjekti i të dhënave mund të
ushtrojë të drejtat e tij ose të saj sipas kësaj Rregulloreje në lidhje me dhe kundër çdo kontrolluesi.
Neni 27
Përfaqësuesit e kontrolluesit ose përpunuesit që nuk janë vendosur në Bashkim
1. Nëse zbatohet Neni 3(2), kontrolluesi ose përpunuesi cakton me shkrim një përfaqësues në
Bashkim.
2. Detyrimi i parashikuar në paragrafin 1 të këtij Neni nuk zbatohet për:
(a) përpunimin që është rastësor, nuk përfshin, në masë të madhe, përpunimin e kategorive të
veçanta të të dhënave të referuara në Nenin 9(1) ose përpunimin e të dhënave personale në lidhje me
dënimet dhe veprat penale të referuara në Nenin 10, dhe duket se nuk rezulton në një risk për të
drejtat dhe liritë e personave fizikë, duke marrë parasysh natyrën, kontekstin, objektin dhe qëllimet e
përpunimit; ose
(b) një autoritet ose organ publik.
3. Përfaqësuesi vendoset në një prej shteteve Anëtare ku janë subjektet e të dhënave, të dhënat
personale të të cilëve përpunohen në lidhje me ofrimin e mallrave ose shërbimeve për ta, ose sjellja e
të cilëve monitorohet.
4. Përfaqësuesi autorizohet nga kontrolluesi ose përpunuesi të investohet, përveç ose në vend të
kontrolluesit ose përpunuesit, veçanërisht, nga autoritetet mbikëqyrëse dhe subjektet e të dhënave, për
të gjitha çështjet në lidhje me përpunimin, për qëllimet e sigurimit të përputhshmërisë me këtë
Rregullore.
5. Caktimi i një përfaqësuesi nga kontrolluesi ose përpunuesi nuk pengon procedimet gjyqësore
që mund të fillohen ndaj vetë kontrolluesit ose përpunuesit.
Neni 28
Përpunuesi
1. Nëse përpunimi duhet të kryhet në emër të një kontrolluesi, kontrolluesi përdor vetëm
përpunues që ofrojnë garanci të mjaftueshme për të zbatuar masat e përshtatshme teknike dhe
organizative në një mënyrë të tillë që përpunimi do të përmbushë kërkesat e kësaj Rregulloreje dhe të
garantojë mbrojtjen e të drejtave të subjektit të të dhënave.
2. Përpunuesi nuk angazhon një përpunues tjetër pa autorizimin paraprak specifik ose të
përgjithshëm me shkrim të kontrolluesit. Në rastin e autorizimit të përgjithshëm me shkrim,
përpunuesi informon kontrolluesin për çdo ndryshim të synuar në lidhje me shtimin ose zëvendësimin
e përpunuesve të tjerë, duke i dhënë kontrolluesit mundësi për të kundërshtuar këto ndryshime.
3. Përpunimi nga një përpunues rregullohet nga një kontratë ose akt tjetër ligjor sipas së drejtës
së Bashkimit ose të Shtetit Anëtar, që është detyrues për përpunuesin në lidhje me kontrolluesin dhe
që përcakton objektin dhe kohëzgjatjen e përpunimit, natyrën dhe qëllimin e përpunimit, tipin e të
dhënave personale dhe kategorive të subjekteve të të dhënave dhe detyrimet dhe të drejtët e
kontrolluesit. Kjo kontratë ose akt tjetër ligjor parashikon, veçanërisht, që përpunuesi:
(a) përpunon të dhënat personale vetëm sipas udhëzimeve të dokumentuara nga kontrolluesi, duke
përfshirë në lidhje me transferimet e të dhënave personale tek një vend i tretë ose një organizatë
ndërkombëtare, përveç kur i kërkohet ta bëjë këtë nga e drejta e Bashkimit ose e Shtetit Anëtar të cilit
i nënshtrohet përpunuesi; në një rast të tillë, përpunuesi informon kontrolluesin për këtë kërkesë
ligjore para përpunimit, përveç kur ligji e ndalon këtë informim për shkaqe të rëndësishme të interesit
publik;
(b) garanton që personat e autorizuar për të përpunuar të dhënat personale i janë nënshtruar
konfidencialitetit ose janë nën detyrimin ligjor të përshtatshëm të konfidencialitetit;
(c) merr të gjitha masat e kërkuara sipas nenit 32;
(d) respekton kushtet e referuara në paragrafët 2 dhe 4 për angazhimin e një përpunuesi tjetër;
(e) duke marrë parasysh natyrën e përpunimit, asiston kontrolluesin me masa të përshtatshme
teknike dhe organizative, në masën që kjo është e mundur, për përmbushjen e detyrimit të
kontrolluesit për t’iu përgjigjur kërkesave për ushtrimin e të drejtave të subjektit të të dhënave të
parashikuara në Kapitullin III;
(f) Asiston kontrolluesin në sigurimin e përputhshmërisë me detyrimet në pajtim me Nenet 32 deri
36 duke marrë parasysh natyrën e përpunimit dhe informacionin e ofruar përpunuesit;
(g) sipas zgjedhjes së kontrolluesit, fshin ose kthen të gjitha të dhënat personale tek kontrolluesi
pas përfundimit të dhënies së shërbimeve në lidhje me përpunimin, dhe fshin kopjet ekzistuese,
përveç kur e drejta e Bashkimit ose Shtetit Anëtar e kërkon ruajtjen e të dhënave personale;
(h) i ofron kontrolluesit të gjithë informacionin e nevojshëm për të demonstruar përputhshmëri me
detyrimet e parashikuara në këtë Nen dhe lejon dhe kontribuon për auditimet, duke përfshirë
inspektimet, e zhvilluara nga kontrolluesi ose një audit tjetër të autorizuar nga kontrolluesi.
Në lidhje me pikën (h) të nën-paragrafit të parë, përpunuesi njofton menjëherë kontrolluesin nëse,
sipas mendimit të tij, një udhëzim e shkel këtë Rregullore ose dispozita të tjera të bashkimit ose
Shtetit Anëtar për mbrojtjen e të dhënave.
4. Nëse një përpunues angazhon një përpunues tjetër për kryerjen e aktiviteteve specifike të
përpunimit në emër të kontrolluesit, të njëjtat detyrime për mbrojtjen e të dhënave sipas parashikimit
në kontratë ose në aktin tjetër ligjor ndërmjet kontrolluesit dhe përpunuesit, sipas referimit në
paragrafin 3 i caktohen përpunuesit tjetër nëpërmjet një kontrate ose një akti tjetër ligjor sipas së
drejtës së Bashkimit ose Shtetit Anëtar, veçanërisht duke dhënë garanci të mjaftueshme për zbatimin
e masave të përshtatshme teknike dhe organizative në një mënyrë të tillë që përpunimi të përmbushë
kërkesat e kësaj Rregulloreje. Nëse përpunuesi tjetër nuk përmbush detyrimet për mbrojtjen e të
dhënave, përpunuesi i parë mbetet tërësisht përgjegjës kundrejt kontrolluesit për përmbushjen e
detyrimeve të përpunuesit tjetër.
5. Respektimi nga një përpunues i kodeve të aprovuar të sjelljes sipas referencën në Nenin 40
ose mekanizmave të aprovuara për certifikimin sipas referimit në Nenin 42 mund të përdoret si një
element nëpërmjet të cilit të demonstrohen garanci të mjaftueshme sipas referimit në paragrafët 1 dhe
4 të këtij Neni.
6. Pa cenuar një kontratë individuale ndërmjet kontrolluesit dhe përpunuesit, kontrata ose akti
tjetër ligjor i referuar në paragrafët 3 dhe 4 të këtij Neni mund të bazohet, plotësisht ose pjesërisht,
mbi klauzolat standarde kontraktuale të referuara në paragrafët 7 dhe 8 të këtij Neni, duke përfshirë
kur ata janë pjesë e një certifikimi të dhënë kontrolluesit ose përpunuesit në pajtim me Nenet 42 dhe
43.
7. Komisioni mund të vendosë klauzola standarde kontraktuale për çështjet e referuara në
paragrafin 3 dhe 4 të këtij Neni dhe në pajtim me procedurën e shqyrtimit të referuar në Nenin 93(2).
8. Një autoritet mbikëqyrës mund të miratojë klauzola kontraktuale standarde për çështjet e
referuara në paragrafët 3 dhe 4 të këtij Neni dhe në pajtim me mekanizmin e përputhshmërisë të
referuar në Nenin 63.
9. Kontrata ose akti tjetër ligjor i referuar në paragrafët 3 dhe 4 janë me shkrim, duke përfshirë
formatin elektronik.
10. Pa cenuar Nenet 82, 83 dhe 84, nëse një përpunues e shkel këtë Rregullore duke përcaktuar
qëllime dhe mjetet e përpunimit, përpunuesi konsiderohet të jetë një kontrollues në lidhje me këtë
përpunim.
Neni 29
Përpunimi nën autoritetin e kontrolluesit ose përpunuesit
Përpunuesi dhe çdo person që vepron nën autoritetin e kontrolluesit ose të përpunuesit, i cili ka akses
tek të dhënat personale, nuk i përpunon ato të dhëna përveç se sipas udhëzimeve nga kontrolluesi,
përveç kur i kërkohet ta bëjë këtë nga e drejta e Bashkimit ose e Shtetit Anëtar.
Neni 30
Regjistrat e aktiviteteve përpunuese
1. Secili kontrollues dhe, sipas rastit, përfaqësuesi i kontrolluesit, mban regjistrin e aktiviteteve
të përpunimit nën përgjegjësinë e tij. Ky regjistër mban të gjithë informacionin e mëposhtëm:
(a) emrin dhe hollësitë e kontaktit të kontrolluesit dhe, sipas rastit, kontrolluesin e përbashkët,
përfaqësuesin e kontrolluesit dhe nëpunësin e mbrojtjes së të dhënave;
(b) qëllimet e përpunimit;
(c) një përshkrim të kategorive të subjekteve të të dhënave dhe të kategorive të të dhënave
personale;
(d) kategoritë e marrësve të cilëve u janë ose do t’u deklarohen të dhënat personale duke përfshirë
marrësit në vendet e tretë ose organizatat ndërkombëtare;
(e) sipas rastit, transferimet e të dhënave personale tek një vend i tretë ose organizatë
ndërkombëtare, duke përfshirë identifikimin e atij vendi të tretë ose organizate ndërkombëtare, dhe,
në rastin e transferimeve të referuara në nën paragrafin e dytë të Nenit 49(1), dokumentacionin e
garancive të përshtatshme;
(f) sipas rastit, afatet kohore të parashikuara për fshirjen e kategorive të ndryshme të të dhënave;
(g) sipas rastit, një përshkrim të përgjithshëm të masave teknike dhe organizative të sigurisë të
referuara në Nenin 32(1).
2. Çdo përpunues dhe, sipas rastit, përfaqësuesi i përpunuesit mban një regjistër për të gjitha
kategoritë e aktiviteteve të përpunimit të kryera në emër të kontrolluesit, që përmban:
(a) emrin dhe hollësitë e kontaktit të përpunuesit ose përpunuesve dhe të çdo kontrolluesi në emër
të të cilit vepron përpunuesi, dhe, sipas rastit, të përfaqësuesit të kontrolluesit ose përpunuesit, dhe
nëpunësit të mbrojtjes së të dhënave;
(b) kategoritë e përpunimit të kryera në emër të secilit kontrollues;
(c) sipas rastit, transferimet e të dhënave personale tek një vend i tretë ose organizatë
ndërkombëtare, duke përfshirë identifikimin e atij vendi të tretë ose organizate ndërkombëtare, dhe,
në rastin e transferimeve të referuara në nën paragrafin e dytë të Nenit 49(1), dokumentacionin e
garancive të përshtatshme;
(d) sipas rastit, një përshkrim të përgjithshëm të masave teknike dhe organizative të sigurisë të
referuara në Nenin 32(1).
3. Regjistrat e referuar në paragrafët 1 dhe 2 janë me shkrim, duke përfshirë formatin
elektronik.
4. Kontrolluesi ose përpunuesi dhe, sipas rastit, përfaqësuesi i kontrolluesit ose përfaqësuesit ia
paraqet regjistrin autoritetit mbikëqyrës me kërkesë.
5. Detyrimet e referuara në paragrafët 1 dhe 2 nuk zbatohen për një ndërmarrje ose një
organizatë që ka të punësuar më pak se 250 persona, përveç kur përpunimi që kryen mund të rezultojë
në një risk për të drejtat dhe liritë e subjekteve të të dhënave, përpunimi nuk është rastësor ose
përpunimi përfshin kategori të veçanta të të dhënave të referuara në Nenin 9(1) ose të dhënat
personale në lidhje me dënimet dhe veprat penale të përmendura në Nenin 10.
Neni 31
Bashkëpunimi me autoritetin mbikëqyrës
Kontrolluesi dhe përpunuesi dhe, sipas rastit, përfaqësuesit e tyre, bashkëpunojnë, me kërkesë, me
autoritetin mbikëqyrës në përmbushjen e detyrave të tyre.
Seksioni 2
Siguria e të dhënave personale
Neni 32
Siguria e përpunimit
1. Duke marrë parasysh gjendjen e teknikës, shpenzimet e zbatimit dhe natyrën, objektin,
kontekstin dhe qëllimet e përpunimit si dhe riskun e mundësisë variabël dhe ashpërsinë për të drejtat
dhe liritë e personave fizikë, kontrolluesi dhe përpunuesi zbaton masa të përshtatshme teknike dhe
organizative për të siguruar një nivel sigurie të përshtatshëm për riskun, duke përfshirë, ndër të tjera,
sipas rastit:
(a) Anonimizimin dhe enkriptimin e të dhënave personale;
(b) Aftësinë për të siguruar konfidencialitetin integritetin, disponibilitetin dhe qëndrueshmërinë në
vazhdim të sistemeve dhe shërbimeve të përpunimit;
(c) aftësinë për të rivendosur disponibilitetin dhe aksesin tek të dhënat personale në kohën e duhur
në rastin e një incidenti fizik ose teknik;
(d) Një proces të testimit, vlerësimit të rregullt të efektivitetit të masave teknike dhe organizative
për të garantuar sigurinë e përpunimit.
2. Në vlerësimin e nivelit të përshtatshëm të sigurisë duhet të merret parasysh veçanërisht risqet
që paraqiten nga përpunimi, veçanërisht nga asgjësimi, humbja, ndryshimi aksidental ose i
paligjshëm, deklarimi i paautorizuar ose aksesi tek të dhënat personale të transmetuara, ruajtura ose
përpunuara ndryshe.
3. Respektimi i një kodi të aprovuar të sjelljes sipas referencën në Nenin 40 ose mekanizmave të
aprovuara për certifikimin sipas referimit në Nenin 42 mund të përdoret si një element nëpërmjet të
cilit të demonstrohen përputhshmëri me kërkesat e parashikuara në paragrafin 1 të këtij Neni.
4. Kontrolluesi dhe përpunuesi ndërmerr hapa për të garantuar që çdo person fizik që vepron
nën autoritetin e kontrolluesit ose të përpunuesit, i cili ka akses tek të dhënat personale, nuk i
përpunon ato përveç se sipas udhëzimeve nga kontrolluesi, përveç kur i kërkohet ta bëjë këtë nga e
drejta e Bashkimit ose e Shtetit Anëtar.
Neni 33
Njoftimi i autoritetit mbikëqyrës për një shkeljeje të të dhënave personale
1. Në rastin e një shkeljeje të të dhënave personale, kontrolluesi pa vonesë dhe, sipas rastit, jo
më vonë se 72 orë pas ardhjes në dijeni të saj, njofton autoritetin mbikëqyrës kompetent në pajtim me
nenin 55 për shkeljen e të dhënave personale, përveç kur shkelja e të dhënave personale nuk mund të
rezultojë në një risk për të drejtat dhe liritë e personave fizikë. Nëse njoftimi i autoritetit mbikëqyrës
nuk bëhet brenda 72 orëve, ai shoqërohet me shkaqet e vonesës.
2. Përpunuesit njoftojnë kontrolluesin pa vonesë të panevojshme pas ardhjes në dijeni të një
shkeljeje të të dhënave personale.
3. Njoftimi i përmendur në paragrafin 1 të paktën:
(a) përshkruan natyrën e shkeljes së të dhënave personale duke përfshirë, sipas rastit, kategoritë
dhe numrin e përafërt të subjekteve të të dhënave dhe kategoritë me numrin e përafërt të regjistrave të
të dhënave personale përkatëse;
(b) komunikon emrin dhe të dhënat e kontaktit të nëpunësit të mbrojtjes së të dhënave dhe çdo
pikë tjetër të kontaktit nëse mund të merret më shumë informacion;
(c) përshkruan pasojat e mundshme të shkeljes së të dhënave personale;
(d) përshkruan masat e marra ose të propozuara për tu marrë nga kontrolluesi për të trajtuar
shkeljen e të dhënave personale, duke përfshirë, sipas rastit, masat për të zbutur efektet e mundshme
negative.
4. Nëse dhe në masën që nuk është e mundur që informacioni të jepet në të njëjtën kohë,
informacioni mund të jepet në faza pa vonesë tjetër të panevojshme.
5. Kontrolluesi dokumenton çdo shkelje të të dhënave personale, që përbëhet nga faktet në
lidhje me shkeljen e të dhënave personale, efektet e saj dhe veprimi korrigjues i marrë. Ky
dokumentacion i mundëson autoritetit mbikëqyrës për të verifikuar përputhshmërinë me këtë Nen.
Neni 34
Komunikimi i shkeljes së të dhënave personale subjektit të të dhënave
1. Nëse shkelja e të dhënave personale mund të rezultojë në një risk të lartë për të drejtat dhe
liritë e personave fizikë, kontrolluesi ia komunikon shkeljen e të dhënave personale subjektit të të
dhënave pa vonesë të panevojshme.
2. Komunikimi drejtuar subjektit të të dhënave personale sipas referimit në paragrafin 1 të këtij
neni përshkruan në një gjuhë të pastër dhe të qartë natyrën e shkeljes së të dhënave personale dhe
përmban të paktën informacionin dhe masat e përmendura në pikat (b), (c) dhe (d) të nenit 33(3).
3. Komunikimi drejtuar subjektit të të dhënave të përmendur në paragrafin 1 nuk kërkohet nëse
përmbushet një prej kushteve të mëposhtme:
(a) kontrolluesi ka zbatuar masa të përshtatshme teknike dhe organizative mbrojtëse dhe këto
masa u zbatuan për të dhënat personale të ndikuara nga shkelja e të dhënave personale, veçanërisht
ato që i bëjnë të dhënat personale të pakuptueshme për çdo person që nuk është i autorizuar për të
aksesuar atë, si enkriptimi;
(b) kontrolluesi ka marrë masa pasuese që garantojnë që risku i lartë për të drejtat dhe liritë e
subjekteve të të dhënave të përmendura në paragrafin 1 nuk vazhdon të jetë i mundur për tu realizuar;
(c) do të kishte të bënte me një përpjekje disproporcionale. Në një rast të tillë, në vend të kësaj do
të ketë një komunikim publik ose një masë e ngjashme nëpërmjet të cilës subjektet e të dhënave
informohen në një mënyrë njëlloj të efektshme.
4. Nëse kontrolluesi nuk ia ka komunikuar shkeljen e të dhënave personale subjektit të të
dhënave, autoriteti mbikëqyrës, duke marrë parasysh mundësinë që shkelja e të dhënave personale të
rezultojë në një risk të lartë, mund të kërkojë ta bëjë këtë ose të vendosë që të përmbushet një prej
kushteve të referuara në paragrafin 3.
Seksioni 3
Vlerësimi i ndikimit mbi mbrojtjen e të dhënave dhe konsultimet paraprake
Neni 35
Vlerësimi i ndikimit mbi mbrojtjen e të dhënave
1. Nëse një tip i përpunimit, veçanërisht përdorimi i teknologjive të reja dhe duke marrë
parasysh natyrën, objektin, kontekstin dhe qëllimet e përpunimit, mund të rezultojë në një risk të lartë
për të drejtat dhe liritë e personave fizikë, kontrolluesi, para përpunimit, kryhen një vlerësim të
ndikimit të operacioneve të parashikuara të përpunimit mbi përpunimin e të dhënave personale. Një
vlerësim i vetëm mund të trajtojë një komplet operacionesh të ngjashme përpunimi që paraqesin risqe
të larta të ngjashme.
2. Kontrolluesi kërkon këshillën e nëpunësit të mbrojtjes së të dhënave, nëse është caktuar, në
kryerjen e vlerësimit të ndikimit mbi mbrojtjen e të dhënave.
3. Një vlerësim i ndikimit mbi mbrojtjen e të dhënave i përmendur në paragrafin 1 veçanërisht
kërkohet në rastin e:
(a) një vlerësimi sistematik dhe ekstensiv të aspekteve personale në lidhje me personat fizikë, i cili
bazohet në përpunimin automatik, duke përfshirë profilizimin dhe në të cilin bazohen vendimet që
prodhojnë efekte ligjore në lidhje me personat fizikë ose ndikojnë në masë të ngjashme personin
fizik;
(b) përpunimit në shkallë të gjerë të kategorive të veçanta të të dhënave të përmendura në Nenin
9(1), ose të të dhënave personale në lidhje me dënimet dhe veprat penale të përmendura në Nenin 10;
ose
(c) një monitorimi sistematik të një zone me akses publik në një shkallë të gjerë.
4. Autoriteti mbikëqyrës përpilon dhe bën publike një listë për llojin e operacioneve të
përpunimit që i nënshtrohen kërkesës së një vlerësimi të ndikimit të mbrojtjes së të dhënave në
pajtim me paragrafin 1. Autoriteti mbikëqyrës i komunikon ato lista Bordit të përmendur në nenin
68.
5. Autoriteti mbikëqyrës mund të përpilojë dhe bëjë publike një listë me llojin e operacioneve të
përpunimit për të cilat nuk kërkohet vlerësimi i ndikimit të mbrojtjes së të dhënave. Autoriteti
mbikëqyrës ia komunikon këto lista bordit.
6. Para miratimit të listave të përmendura në paragrafët 4 dhe 5, autoriteti kompetent
mbikëqyrës zbaton mekanizmat e përputhshmërisë së përmendur në Nenin 63, nëse këto lista
përfshijnë aktivitete përpunimi të cilat kanë të bëjnë me ofrimin e mallrave ose shërbimeve
subjekteve të të dhënave ose monitorimin e sjelljes së tyre në disa Shtete Anëtare, ose mund të
ndikojnë në mënyrë thelbësore lëvizjen e lirë të të dhënave personale brenda Bashkimit.
7. Vlerësimi të paktën përmban:
(a) një përshkrim sistematik të operacioneve të përpunimit të parashikuar dhe qëllimet e
përpunimit, duke përfshirë, sipas rastit, interesin legjitim të ndjekur nga kontrolluesi;
(b) një vlerësim të domosdoshmërisë dhe proporcionalitetit të operacioneve të përpunimit në lidhje
me qëllimet;
(c) një vlerësim të risqeve për të drejtat dhe liritë e subjekteve të të dhënave të referuara në
paragrafin 1; dhe
(d) masat e parashikuara për të trajtuar risqet, duke përfshirë garancitë, masat e sigurisë dhe
mekanizmat për të siguruar mbrojtjen e të dhënave personale dhe për të demonstruar përputhshmëri
me këtë Rregullore duke marrë parasysh të drejtat dhe interesat legjitime të subjekteve të të dhënave
dhe personave të tjerë të interesuar.
8. Respektimi i kodeve të aprovuar të sjelljes të referuar në nenin 40 nga kontrolluesit ose
përpunuesit merren parasysh në vlerësimin e ndikimit të operacioneve të përpunimit të kryera nga
këta kontrollues ose përpunues, veçanërisht për qëllimet e vlerësimit të ndikimit të mbrojtjes së të
dhënave.
9. Sipas rastit, kontrolluesi kërkon mendimet e subjekteve të të dhënave ose përfaqësuesve të
tyre mbi përpunimin e synuar, pa cenuar mbrojtjen e interesave tregtare ose publike ose sigurinë e
operacioneve të përpunimit.
10. Nëse përpunimi në pajtim me pikën (c) ose (e) të Nenit 6(1) ka një bazë ligjore në të drejtën
e Bashkimit ose në të drejtën e Shtetit Anëtar të cilit i nënshtrohet kontrolluesi, kjo e drejtë rregullon
operacionet specifike të përpunimit ose kompletin e operacioneve në fjalë, dhe një vlerësimi i
ndikimit mbi mbrojtjen e të dhënave është kryer si pjesë e një vlerësimi të përgjithshëm të ndikimit në
kontekstin e miratimit të asaj baze ligjore, paragrafët 1 deri 7 nuk zbatohen përveç kur Shtetet
Anëtare e konsiderojnë të nevojshme për të kryer një vlerësim të tillë para aktiviteteve përpunuese.
11. Sipas rastit, kontrolluesi kryhen një rishikim për të vlerësuar nëse përpunimi kryhen në
pajtim me vlerësimin e ndikimit mbi mbrojtjen e të dhënave të paktën kur ka një ndryshim të riskut të
përfaqësuar nga operacionet e përpunimit.
Neni 36
Konsultimi paraprak
1. Kontrolluesi konsultohet me autoritetin mbikëqyrës para përpunimit nëse vlerësimi i ndikimit
mbi mbrojtjen e të dhënave sipas Nenit 35 tregon që përpunimi do të rezultonte në një risk të lartë në
mungesë të masave të marra nga kontrolluesi për të zbutur riskun.
2. Nëse autoriteti mbikëqyrës është i mendimit që përpunimi i synuar i referuar në paragrafin 1
do të shkelte këtë Rregullore, veçanërisht nëse kontrolluesi ka identifikuar ose zbutur riskun në masë
të pamjaftueshme, autoriteti mbikëqyrës, brenda një afati deri në tetë javë nga marrja e kërkesës për
konsultim, i paraqet kontrolluesit këshillim më shkrim dhe, nëse zbatohet për përpunuesin, mund të
përdorë një prej kompetencave të përmendura në Nenin 58. Ky afat mund të zgjatet gjashtë javë,
duke marrë parasysh kompleksitetin e përpunimit të synuar. Autoriteti mbikëqyrës informon
kontrolluesin dhe, sipas rastit, përpunuesin për çdo zgjatje të tillë brenda një muaji nga marrja e
kërkesës për konsultime së bashku me shkaqet e vonesës. Këto afate mund të pezullohen derisa
autoriteti mbikëqyrës të ketë përftuar informacionin që ai ka kërkuar për qëllimet e konsultimeve.
3. Gjatë konsultimit me autoritetin mbikëqyrës në pajtim me paragrafin 1, kontrolluesi i paraqet
autoritetit mbikëqyrës:
(a) sipas rastit, përgjegjësitë përkatëse të kontrolluesit, kontrolluesit të përbashkët dhe
përpunuesve të përfshirë në përpunim, veçanërisht për përpunimin brenda një grupi të ndërmarrjeve;
(b) qëllimet dhe mjetet e përpunimit të synuar;
(c) masat dhe garancitë e parashikuara për të mbrojtur të drejtat dhe liritë e subjekteve të të
dhënave në pajtim me këtë Rregullore;
(d) sipas rastit, hollësitë e kontaktit për nëpunësin e mbrojtjes së të dhënave;
(e) vlerësimin e ndikimit të mbrojtjes së të dhënave të parashikuar në Nenin 35; dhe
(f) çdo informacion tjetër të kërkuar nga autoriteti mbikëqyrës.
4. Shtetet Anëtare konsultohen me autoritetin mbikëqyrës gjatë përgatitjes së një propozimi që
një masë legjislative të miratohet nga një parlament i brendshëm ose e një mase rregullatore të bazuar
në një masë legjislative të tillë, që ka të bëjë me përpunimin.
5. Pavarësisht paragrafit 1, e drejta e Shtetit Anëtar mund të kërkojë që kontrolluesit të
konsultohen dhe të marrin autorizim paraprak nga autoriteti mbikëqyrës në lidhje me përpunimin nga
një kontrollues për kryerjen e një detyre që përmbushet nga kontrolluesi në interes publik, duke
përfshirë përpunimin në lidhje me mbrojtjen sociale dhe shëndetin publik.
Seksioni 4
Nëpunësi i mbrojtjes së të dhënave
Neni 37
Caktimi i nëpunësit për mbrojtjen e të dhënave
1. Kontrolluesi dhe përpunuesi caktojnë një nëpunës për mbrojtjen e të dhënave në çdo rast
nëse:
(a) përpunimi kryhet nga një autoritet ose organ publik, përveç gjykatave që veprojnë në cilësinë e
tyre gjyqësore;
(b) aktivitetet kryesore të kontrolluesit ose të përpunuesit përbëhen nga operacionet përpunuese që
në saj të natyrës, objektit dhe/ose qëllimit të tyre, kërkojnë monitorim të rregullt dhe sistematik të
subjektit të të dhënave në një shkallë të gjerë; ose
(c) aktivitetet kryesore të kontrolluesit ose të përpunuesit përbëhen nga përpunimi në një shkallë të
gjerë i kategorive të veçanta në pajtim me Nenin 9 dhe të dhëna personale në lidhje me dënimet dhe
veprat penale të referuara në Nenin 10.
2. Një grup ndërmarrjesh mund të caktojnë një nëpunës të vetëm për mbrojtjen e të dhënave, me
kusht që një nëpunës i mbrojtjes së të dhënave të jetë lehtësisht i aksesueshëm nga çdo strukturë.
3. Nëse kontrolluesi ose përpunuesi është një autoritet ose organ publik, mund të caktohet një
nëpunës i vetëm për mbrojtjen e të dhënave për disa autoriteti ose organe të tilla, duke pasur parasysh
strukturën e tyre organizative dhe madhësinë.
4. Në raste të ndryshme nga ato të referuara në paragrafin 1, kontrolluesi ose përpunuesi ose
shoqatat ose organet e tjera që përfaqësojnë kategori të kontrolluesve ose përpunuesve mund ose,
nëse kërkohet nga e drejta e Bashkimit ose Shtetit Anëtar, cakton një nëpunës për mbrojtjen e të
dhënave. Nëpunësi i mbrojtjes së të dhënave mund të veprojë për këto shoqata ose organe të tjera që
përfaqësojnë kontrolluesit ose përpunuesit.
5. Nëpunësi i mbrojtjes së të dhënave caktohet mbi bazën e cilësive profesionale dhe,
veçanërisht, ekspertiza për të drejtën e mbrojtjes së të dhënave praktikat dhe aftësia për të
përmbushur detyrat e përmendura në Nenin 39.
6. Nëpunësi i mbrojtjes së të dhënave mund të jetë anëtar personeli kontrolluesit ose përpunuesit
ose të përmbushë detyrat mbi bazën e një kontrate shërbimi.
7. Kontrolluesi ose përpunuesi publikon hollësitë e kontaktit të nëpunësit për mbrojtjen e të
dhënave dhe ia komunikon ato autoritetit mbikëqyrës.
Neni 38
Pozicioni i nëpunësit për mbrojtjen e të dhënave
1. Kontrolluesi dhe përpunuesi garantojnë që nëpunësi i mbrojtjes së të dhënave përfshihet në
mënyrën dhe kohën e duhur, në të gjitha çështjet që kanë të bëjnë me mbrojtjen e të dhënave
personale.
2. Kontrolluesi dhe përpunuesi mbështet nëpunësin e mbrojtjes së të dhënave në përmbushjen e
detyrave të referuara në Nenin 39 duke parashikuar masat e nevojshme për të kryer ato detyra dhe
aksesuar operacionet e përpunimit të të dhënave personale dhe për të mbajtur ekspertizën e vet.
3. Kontrolluesi dhe përpunuesi garantojnë që nëpunësi i mbrojtjes së të dhënave nuk merr
udhëzime në lidhje me ushtrimin e këtyre detyrave. Ai ose ajo nuk pushohet apo penalizohet nga
kontrolluesi ose përpunuesi për përmbushjen e detyrave të tij. Nëpunësi i mbrojtjes së të dhënave
raporton drejtpërdrejtë në nivelin më të lartë të menaxhimit të kontrollit ose përpunuesit.
4. Subjektet e të dhënave mund të kontaktojnë nëpunësin e mbrojtjes së të dhënave në lidhje me
çështjet për sa i takojnë përpunimit të të dhënave të tyre personale dhe për ushtrimin e të drejtave të
tyre sipas kësaj Rregulloreje.
5. Nëpunësi i mbrojtjes së të dhënave i nënshtrohet fshehtësisë ose konfidencialitetit në lidhje
me përmbushjen e detyrave të tij ose të saj, në pajtim me të drejtën e Bashkimit ose Shtetit Anëtar.
6. Nëpunësi i mbrojtjes së të dhënave mund të përmbushë detyra të tjera. Kontrolluesi ose
përpunuesi garantojnë që çdo detyrë tjetër e tillë nuk rezulton në konflikt interesash.
Neni 39
Detyrat e nëpunësit për mbrojtjen e të dhënave
1. Nëpunësi i mbrojtjes së të dhënave ka të paktën detyrat e mëposhtme:
(a) informon dhe këshillon kontrolluesin ose përpunuesin dhe të punësuarit të cilët kryejnë
përpunimin mbi detyrimet e tyre në pajtim me këtë Rregullore dhe dispozitat e tjera të Bashkimit ose
Shtetit Anëtar për mbrojtjen e të dhënave;
(b) monitoron respektimin e kësaj Rregulloreje, me dispozitat e tjera të Bashkimit ose Shtetit
Anëtar për mbrojtjen e të dhënave dhe politikave të kontrolluesit ose përpunuesit në lidhje me
mbrojtjen e të dhënave personale, duke përfshirë caktimin e përgjegjësive, ndërgjegjësimin dhe
trajnimin e personelit të përfshirë në operacionet e përpunimit dhe auditimet përkatëse;
(c) jep këshilla, sipas rastit, në lidhje me vlerësimin e ndikimit mbi mbrojtjen e të dhënave dhe
monitoron performancën në pajtim me nenin 35;
(d) bashkëpunon me autoritetin mbikëqyrës;
(e) vepron si pikë kontakti për autoritetin mbikëqyrës për çështjet në lidhje me përpunimin, duke
përfshirë konsultimin paraprak të referuar në Nenin 36 dhe konsultohet, sipas rastit, në lidhje me çdo
çështje tjetër.
2. Nëpunësi i mbrojtjes së të dhënave, në përmbushje të detyrave të tij ose të saj, merr parasysh
si duhet riskun që shoqëron operacionet e përpunimit, duke marrë parasysh natyrën, objektin,
kontekstin dhe qëllimet e përpunimit.
Seksioni 5
Kodet e sjelljes dhe certifikimi
Neni 40
Kodet e sjelljes
1. Shtetet Anëtare, autoritetet mbikëqyrëse, Bordi dhe Komisioni inkurajojnë përpilimin e
kodeve të sjelljes që janë të destinuar të kontribuojnë në zbatimin e duhur të kësaj Rregulloreje, duke
marrë parasysh tiparet specifike të sektorëve të ndryshëm të përpunimit dhe nevojat specifike të
ndërmarrjeve mikro, të vogla dhe të mesme.
2. Shoqatat dhe organet e tjera që përfaqësojnë kategoritë e kontrolluesve ose përpunuesve
mund të përgatisin kode të sjelljes, ose të ndryshojnë ose zgjerojnë këto kode, për qëllimin e
specifikimit të zbatimit të kësaj Rregulloreje, si në lidhje me:
(a) përpunimin e drejtë dhe transparent;
(b) interesat legjitime të ndjekura nga përpunuesit në kontekste specifike;
(c) mbledhjen e të dhënave personale;
(d) anonimizimin e të dhënave personale;
(e) informacionin e dhënë publikut dhe subjekteve të të dhënave;
(f) ushtrimin e të drejtave të subjekteve të të dhënave;
(g) informacionin e dhënë fëmijëve dhe mbrojtjen e tyre dhe mënyrën në të cilën merret pëlqimi i
zotëruesve të përgjegjësisë prindërore për fëmijët;
(h) masat dhe procedurat e referuara në nenet 24 dhe 25 dhe masat për të garantuar sigurinë e
përpunimit të referuar në nenin 32;
(i) njoftimin e shkeljeve të të dhënave personale autoriteteve dhe komunikimi i këtyre shkeljeve të
të dhënave personale subjekteve të të dhënave;
(j) transferimin e të dhënave personale tek vendet e treta ose organizatat ndërkombëtare; ose
(k) procedurat jashtë-gjyqësore dhe procedurat e tjera për zgjidhjen e mosmarrëveshjeve ndërmjet
kontrolluesve dhe subjekteve të të dhënave në lidhje me përpunimin, pa cenuar të drejtat e subjekteve
të dhënave në pajtim me Nenet 77 dhe 79.
3. Përveç respektimit nga kontrolluesit ose përpunuesit që i nënshtrohen kësaj Rregulloreje,
kodet e sjelljes të aprovuar në pajtim me paragrafin 5 të këtij Neni dhe që kanë një vlefshmëri të
përgjithshme në pajtim me paragrafin 9 të këtij Neni mund të respektohen nga kontrolluesit ose
përpunuesit që nuk i nënshtrohen kësaj Rregulloreje në pajtim me Nenin 3 me qëllim që të ofrojnë
garanci të përshtatshme brenda kuadrit të transferimeve të të dhënave personale tek vendet e tretë ose
organizatat ndërkombëtare sipas termave të referuara në pikën (e) të Nenit 46(2). Këta kontrollues ose
përpunues marrin angazhime detyruese dhe të ekzekutueshme, nëpërmjet instrumenteve detyrues
kontraktualë ose ligjorë të tjerë për të zbatuar ato garanci të përshtatshme duke përfshirë në lidhje me
të drejtat e subjektet e të dhënave.
4. Një kod sjelljeje i referuar në paragrafin 2 të këtij Neni përmban mekanizmat që i
mundësojnë organit të përmendur në Nenin 41(1) për të kryer monitorimin e detyrueshëm të
përputhshmërisë më dispozitat e tij nga kontrolluesit ose përpunuesit që ndërmarrin ta zbatojnë atë, pa
cenuar detyrat dhe kompetencat e autoriteteve mbikëqyrëse kompetente në pajtim me Nenet 55 dhe
56.
5. Shoqatat ose organet e tjera të referuara në paragrafin 2 të këtij Neni që synojnë të përgatisin
një kod sjelljeje ose të ndryshojnë apo zgjerojnë një kod ekzistues paraqesin një projekt-kod,
ndryshim ose zgjerim tek autoriteti mbikëqyrës që është kompetent në pajtim me Nenin 55. Autoriteti
mbikëqyrës paraqet një opinion nëse projekt kodi, ndryshimi ose zgjerimi përputhet me këtë
Rregullore dhe aprovon projekt kodin, ndryshimin ose zgjerimin nëse konstaton që ai ofron garanci të
mjaftueshme dhe të përshtatshme.
6. Nëse projekt kodi, ndryshimi ose zgjerimi aprovohet në pajtim me paragrafin 5 dhe nëse kodi
përkatës i sjelljes nuk lidhet me aktivitetet përpunuese në disa Shtete Anëtare, autoriteti mbikëqyrës
regjistron dhe publikon kodin.
7. Nëse projekt kodi i sjelljes ka të bëjë me aktivitete përpunuesi në disa Shtete Anëtare,
autoriteti mbikëqyrës që është kompetent në pajtim me Nenin 55, para aprovimit të projekt kodit,
ndryshimit ose zgjerimit, e paraqet atë në procedurën e referuar në Nenin 63 tek Bordi që mund të
japë një opinion nëse projekt kodi, ndryshimi ose zgjerimi përputhet me këtë Rregullore ose, në
situatën e referuar në paragrafin 3 të këtij Neni, parashikon garanci të përshtatshme.
8. Nëse opinioni i referuar në paragrafin 7 konfirmon që projekt kodi, ndryshimi ose zgjerimi
përputhet me këtë Rregullore, ose, në situatën e referuar në paragrafin 3, parashikon garanci të
përshtatshme, Bordi paraqet opinionin e tij tek Komisioni.
9. Komisioni, nëpërmjet akteve zbatuese, mund të vendosë që kodi i sjelljes, ndryshimi ose
zgjerimi i miratuar i paraqitur atij në pajtim me paragrafin 8 të këtij Neni të ketë vlefshmëri të
përgjithshme brenda Bashkimit. Këto akte zbatuese miratohen në pajtim me procedurën e shqyrtimit
të parashikuar në Nenin 93(2).
10. Komisioni garanton publikimin e duhur të kodeve të aprovuar që janë deklaruar sikur kanë
vlefshmëri të përgjithshme në pajtim me paragrafin 9.
11. Bordi i përfshin të gjithë kodet e sjelljes, ndryshimet dhe zgjerimet e aprovuar në një
regjistër dhe i bën ata të disponueshëm nga publiku nëpërmjet mjeteve të përshtatshme.
Neni 41
Monitorimi i kodeve të miratuar të sjelljes
1. Pa cenuar detyrat dhe kompetencat e autoritetit mbikëqyrës kompetent sipas neneve 57 dhe
58, monitorimi i përputhshmërisë me kodin e sjelljes në pajtim me Nenin 40 mund të kryhet nga një
organ i cili ka një nivel të përshtatshëm të ekspertizës në lidhje me objektin e kodit dhe akreditohet
për këtë qëllim nga autoriteti mbikëqyrës kompetent.
2. një organ i referuar në paragrafin 1 mund të akreditohet për të monitoruar përputhshmërinë
me një kod sjelljeje nëse ai organ ka:
(a) demonstruar pavarësinë dhe ekspertizën e tij në lidhje me objektin e kodit duke bindur
autoritetin mbikëqyrës kompetent;
(b) caktuar procedura që i mundësojnë vlerësimin e përshtatshmërisë të kontrolluesve dhe
përpunuesve të interesuar për të zbatuar kodin, monitorimin e përputhshmërisë prej tyre me dispozitat
e tij dhe rishikimin periodik të operacioneve të veta;
(c) caktuar procedura dhe struktura për të trajtuar ankimet në lidhje me shkeljet e kodit ose
mënyrën në të cilin kodi është zbatuar, ose po zbatohet nga një kontrollues ose përpunues dhe për ti
bërë ato procedura dhe struktura transparente për subjektet e të dhënave dhe publikun; dhe
(d) demonstruar duke bindur autoritetin kompetent mbikëqyrës që detyrat e tij nuk rezultojnë në
konflikt interesash.
3. Autoriteti mbikëqyrës kompetent ia paraqet projekt kriteret për akreditimin e një organi të
referuar në paragrafin 1 të këtij Neni Bordit në pajtim me mekanizmin e përputhshmërisë të referuar
në Nenin 63.
4. Pa cenuar detyrat dhe kompetencat e autoritetit mbikëqyrës kompetent dhe dispozitat e
Kapitullit VIII, një organ i referuar në paragrafin 1 të këtij Neni, në pajtim me garancitë e
përshtatshme, merr masat e përshtatshme në rastet e shkeljeve të kodit nga një kontrollues ose
përpunues, duke përfshirë pezullimin ose përjashtimin e kontrolluesit ose përpunuesit përkatës nga
kodi. Ai njofton autoritetin mbikëqyrës kompetent në lidhje me këto masa dhe shkaqet për marrjen e
tyre.
5. Autoriteti mbikëqyrës kompetent revokon akreditimin e një organi të referuar në paragrafin 1
nëse kushtet për akreditim nuk janë ose nuk vazhdojnë të përmbushen ose nëse masat e marra nga
organi e shkelin këtë Rregullore.
6. Ky Nen nuk zbatohet për përpunimin e kryer nga autoritetet dhe organet publike.
Neni 42
Certifikimi
1. Shtetet Anëtare, autoritetet mbikëqyrëse dhe Komisioni inkurajojnë, veçanërisht në nivelin e
Bashkimit, ngritjen e mekanizmave të certifikimit të mbrojtjes së të dhënave dhe të vulave dhe
shenjave të mbrojtjes së të dhënave, me qëllim demonstrimin e përputhshmërisë me këtë Rregullore
të operacioneve të përpunimit nga kontrolluesit dhe përpunuesit. Nevojat specifike të ndërmarrjeve
mikro, të vogla dhe të mesme merren parasysh.
2. Përveç respektimit nga kontrolluesit ose përpunuesit që i nënshtrohen kësaj Rregulloreje,
mekanizmat e certifikimit të mbrojtjes së të dhënave, vulat dhe shenjat e aprovuar në pajtim me
paragrafin 5 të këtij Neni mund të vendosen me qëllim demonstrimin e ekzistencës së garancive të
përshtatshme në pajtim me Nenin 3 brenda kuadrit të transferimeve të të dhënave personale tek
vendet e tretë ose organizatat ndërkombëtare sipas termave të referuara në pikën (f) të Nenit 46(2).
Këta kontrollues ose përpunues marrin angazhime detyruese dhe të ekzekutueshme, nëpërmjet
instrumenteve detyrues kontraktualë ose ligjorë të tjerë për të zbatuar ato garanci të përshtatshme
duke përfshirë në lidhje me të drejtat e subjekteve të të dhënave.
3. Certifikimi është vullnetar dhe i disponueshëm nëpërmjet një procesi që është transparent.
4. Një certifikim në pajtim me këtë Nen nuk e kufizon përgjegjësinë e kontrolluesit ose të
përpunuesit për përputhshmërinë me këtë Rregullore dhe nuk i cenon detyrat dhe kompetencat e
autoriteteve mbikëqyrëse që janë kompetentë në pajtim me Nenet 55 dhe 56.
5. Një certifikim në pajtim me këtë Nen lëshohet nga organet e certifikimit të referuar në Nenin
43 ose nga autoriteti mbikëqyrës kompetent, në bazë të kritereve të aprovuar nga ai autoritet
kompetent mbikëqyrës në pajtim me Nenin 58(3) ose nga Bordi në pajtim me Nenin 63. Nëse kriteret
aprovohen nga Bordi, kjo mund të rezultojë në një certifikim të përbashkët, Vula Evropiane e
Mbrojtjes së të Dhënave.
6. Kontrolluesi ose përpunuesi i cili i paraqet përpunimin e tij mekanizmit të certifikimit i jep
organit të certifikimit të referuar në Nenin 43 ose, sipas rastit, autoritetit mbikëqyrës kompetent, të
gjithë informacionin dhe aksesin tek aktivitetet e tij përpunuese të cilat janë të nevojshme për të
zhvilluar procedurën e certifikimit.
7. Certifikimi i lëshohet një kontrolluesi ose përpunuesi brenda një afati maksimal prej tre
vjetësh dhe mund të rinovohet, sipas të njëjtave kushte, me kusht që të vazhdojnë të përmbushen
kërkesat përkatëse. Certifikimi tërhiqet, sipas rastit, nga organet e certifikimit të referuar në Nenin 43
ose nga autoriteti mbikëqyrës kompetent nëse nuk vazhdojnë të përmbushen kërkesat për certifikimin.
8. Bordi i përfshin të gjithë mekanizmat e certifikimit dhe vulat e mbrojtjes së të dhënave dhe
shenjat në një regjistër dhe i bën ata të disponueshëm nga publiku nëpërmjet mjeteve të përshtatshme.
Neni 43
Organet e certifikimit
1. Pa cenuar detyrat dhe kompetencat e autoritetit mbikëqyrës kompetent sipas Neneve 57 dhe
58, organet e certifikimit që kanë një nivel të përshtatshëm të ekspertizës në lidhje me mbrojtjen e të
dhënave, pas informimit të autoritetit mbikëqyrës për të lejuar ushtrimin e kompetencave në pajtim
me Nenin 58(2), sipas rastit, lëshojnë dhe rinovojnë certifikimin. Shtetet Anëtare garantojnë që këto
organe certifikimi të akreditohen nga një ose të dy sa më poshtë:
(a) Autoriteti mbikëqyrës që është kompetent në pajtim me Nenin 55 ose 56;
(b) Organi kombëtar i akreditimit i emërtuar në pajtim me Rregulloren (KE) Nr 765/2008 të
Parlamentit Evropian dhe të Këshillit (1) në pajtim me EN-ISO/IEC 17065/2012 dhe me kërkesat
shtesë të përcaktuara nga autoriteti mbikëqyrës që është kompetent në pajtim me Nenin 55 ose 56.
2. Organet e certifikimit të referuara në paragrafin 1 akreditohen në pajtim me atë paragraf
vetëm nëse to kanë:
(a) demonstruar pavarësinë dhe ekspertizën e tij në lidhje me objektin e Certifikimit duke bindur
autoritetin mbikëqyrës kompetent;
(b) Marrë përsipër të respektojnë kriteret e përmendura në Nenin 42(5) dhe të aprovuar nga
autoriteti mbikëqyrës që është kompetent në pajtim me Nenin 55 dhe 56 ose nga Bordi në pajtim me
Nenin 63;
(c) Vendosur procedurat për lëshimin, rishikimin periodik dhe tërheqjen e certifikimit, vulave dhe
shenjave të mbrojtjes së të dhënave;
(d) caktuar procedura dhe struktura për të trajtuar ankimet në lidhje me shkeljet e certifikimit ose
mënyrën në të cilin certifikimi është zbatuar, ose po zbatohet nga një kontrollues ose përpunues dhe
për ti bërë ato procedura dhe struktura transparente për subjektet e të dhënave dhe publikun; dhe
(e) demonstruar duke bindur autoritetin kompetent mbikëqyrës që detyrat e tij nuk rezultojnë në
konflikt interesash.
3. Akreditimi i organeve të certifikimit të përmendur në paragrafët 1 dhe 2 të këtij Neni kryhet
mbi bazën e kritereve të aprovuara nga organi mbikëqyrës që është kompetent në pajtim me Nenin 55
ose 56 ose nga Bordi në pajtim me Nenin 63. Në rastin e akreditimit në pajtim me pikën (b) të
paragrafit 1 të këtij Neni, këto kërkesa plotësojnë ato të parashikuara në Rregulloren Nr. 765/2008
dhe rregullat teknikë që përshkruajnë metodat dhe procedurat për organet e certifikimit.
4. Organet e certifikimit të përmendura në paragrafin 1 janë përgjegjëse për vlerësimin e duhur
që çon në certifikimin ose tërheqjen e këtij certifikimi pa cenuar përgjegjësinë e kontrolluesit ose
përpunuesit për respektimin e kësaj Rregulloreje. Akreditimi lëshohet për një afat maksimal prej pesë
vjetësh dhe mund të rinovohet sipas të njëjtave kushteve, me kusht që organi i certifikimit të
përmbushë kërkesat e parashikuara në këtë Nen.
5. Organet e certifikimit të përmendura në paragrafin 1 i paraqesin autoritetit mbikëqyrës
kompetent shkaqet për dhënien ose tërheqjen e certifikimit të kërkuar.
6. Kërkesat e referuar në paragrafin 3 të këtij Neni dhe kriteret e referuara në Nenin 42(5) bëhen
publike nga autoriteti mbikëqyrës në një format lehtësisht të aksesueshëm. Autoritetet mbikëqyrëse
ia transmetojnë këto kërkesa dhe kritere edhe Bordit. Bordi i përfshin të gjithë mekanizmat e
certifikimit dhe vulat e mbrojtjes së të dhënave në një regjistër dhe i bën ata të disponueshëm nga
publiku nëpërmjet mjeteve të përshtatshme.
7. Pa cenuar Kapitullin VIII, autoriteti mbikëqyrës kompetent ose organi kombëtar i akreditimit
e revokon një akreditim të një organi certifikimi në pajtim me paragrafin 1 të këtij neni nëse kushtet e
akreditimit nuk përmbushen ose nuk vazhdojnë të përmbushen ose nëse masat e marra nga një organ
certifikimi e shkelin këtë Rregullore.
8. Komisioni është i autorizuar të miratojë aktet e deleguara në pajtim me Nenin 92 për qëllimin
e përcaktimit të kërkesave për tu marrë parasysh për mekanizmat e mbrojtjes së të dhënave të
referuara në Nenin 42(1).
9. Komisioni mund të miratojë akte zbatuese duke përcaktuar standardet teknike për
mekanizmat e certifikimit dhe vulat dhe shenjat e mbrojtjes së të dhënave dhe mekanizmat për të
nxitur dhe njohur ato mekanizma , vula dhe shenja certifikimi. Këto akte zbatuese miratohen në
pajtim me procedurën e shqyrtimit të referuar në Nenin 93(2).
KAPITULLI V
Transferimet e të dhënave personale tek vendet e treta ose organizatat ndërkombëtare
Neni 44
Parime të përgjithshme për transferimet
Çdo transferim i të dhënave personale që po i nënshtrohen përpunimit ose janë destinuar për
përpunim pas transferimi në një vend të tretë ose në një organizatë ndërkombëtare zhvillohet vetëm
nëse, në pajtim me dispozitat e tjera të kësaj Rregulloreje, kushtet e përcaktuara në këtë Kapitull
përmbushen nga kontrolluesi dhe përpunuesi, duke përfshirë transferimet e mëtejshme të të dhënave
personale nga vendi i tretë ose një organizatë ndërkombëtare në një vend tjetër të tretë ose një
organizatë tjetër ndërkombëtare. Të gjitha dispozitat e këtij Kapitulli zbatohen me qëllim që të
garantohet mos-dëmtimi i nivelit të mbrojtjes së personave fizikë të garantuar nga kjo Rregullore.
Neni 45
Transferimet mbi bazën e një vendimi përshtatshmërie
1. Një transferim i të dhënave personale në një vend të tretë ose një organizatë ndërkombëtare
mund të kryhet nëse Komisioni ka vendosur që vendi i tretë, një territor ose një ose disa sektorë të
specifikuar brenda vendit të tretë ose organizata ndërkombëtare në fjalë garanton një nivel të
përshtatshëm mbrojtjeje. Një transferim i tillë nuk kërkon ndonjë autorizim specifik.
2. Gjatë vlerësimit të përshtatshmërisë së nivelit të mbrojtjes, Komisioni, veçanërisht, merr
parasysh elementët e mëposhtëm:
(a) shtetin ligjor, respektimin e të drejtave të njeriut dhe lirive themelore, legjislacionin përkatës,
të përgjithshëm dhe sektorial duke përfshirë atë në lidhje me sigurinë publike, mbrojtjen, sigurinë
kombëtare, të drejtën penale dhe aksesin e autoriteteve publike tek të dhënat personale, si dhe
zbatimin e këtij legjislacioni, rregullat për mbrojtjen e të dhënave, rregullat profesionale dhe masat e
sigurisë, duke përfshirë rregullat për transferimin e mëtejshëm të të dhënave personale tek një vend i
tretë ose organizatë ndërkombëtare që respektohen në atë vend ose organizatë ndërkombëtare,
praktikën gjyqësore, si dhe të drejtat efektive dhe të ekzekutueshme të subjekteve të të dhënave dhe
mjetet e mbrojtjes efektive administrative dhe gjyqësore për subjektet e të dhënave, të dhënat
personale të të cilëve transferohen;
(b) ekzistencën dhe funksionimin efektiv të një ose më shumë autoriteteve mbikëqyrëse të
pavarura në një vend të tretë ose të cili i nënshtrohet një organizate ndërkombëtare, me përgjegjësi
për të garantuar dhe ekzekutuar respektimin e rregullave të mbrojtjes së të dhënave, duke përfshirë
kompetenca të përshtatshme ekzekutimi, për të asistuar dhe ndihmuar subjektet e të dhënave në
ushtrimin e të drejtave të tyre dhe për bashkëpunimin me autoritetet mbikëqyrëse të Shteteve Anëtare
dhe
(c) angazhimet ndërkombëtare që ka marrë përsipër vendi i tretë ose organizata ndërkombëtare,
ose detyrime të tjera që rrjedhin nga konventat ose instrumentet ligjërisht detyruese, si dhe nga
pjesëmarrja e tij në sisteme shumëpalëshe ose rajonale, veçanërisht në lidhje me mbrojtjen e të
dhënave personale.
3. Komisioni, pas vlerësimit të përshtatshmërisë së nivelit të mbrojtjes, mund të vendosin,
nëpërmjet aktit zbatues, që një vend i tretë, një territor ose një ose më shumë sektorë të specifikuar
brenda një territori ose një organizatë ndërkombëtare garanton një nivel të përshtatshëm mbrojtjeje
brenda kuptimit të paragrafit 2 të këtij Neni. Akti i zbatimit parashikon një mekanizëm të rishikimit
periodik, të paktën një herë në katër vjet, që merr parasysh të gjitha zhvillimet përkatëse në vendin e
tretë ose organizatën ndërkombëtare. Akti zbatues specifikon zbatimin e tij territorial dhe sektorial
dhe, sipas rastit, identifikon autoritetin mbikëqyrës ose autoritetet e referuar në pikën (b) të paragrafit
2 të këtij Neni. Akti standard miratohet nga Komisioni në pajtim me procedurën e shqyrtimit të
përmendur në Nenin 93(2);
4. Komisioni, në vazhdimësi, monitoron zhvillimet në vendet e treta dhe organizatat
ndërkombëtare që mund të ndikojnë funksionimin e vendimeve të miratuara në pajtim me paragrafin
3 të këtij Neni dhe vendimet e miratuar në bazë të nenit 25(6) të Direktivës 95/46/KE.
5. Komisioni, nëse vihet në dukje nga informacioni i ofruar, veçanërisht pas rishikimit të
referuar në paragrafin 3 të këtij Neni, që një vend i tretë, një territor ose një ose disa sektorë të
specifikuar të një vendi të tretë ose një organizatë ndërkombëtare nuk vazhdon të garantojë një nivel
të përshtatshëm mbrojtjeje brenda kuptimit të paragrafit 2 të këtij Neni, në masën e nevojshme,
anulojnë, ndryshojnë ose pezullojnë vendimin e referuar në paragrafin 3 të këtij neni nëpërmjet
akteve të zbatimit pa efekt prapaveprues. Këto akte zbatuese miratohen në pajtim me procedurën
shqyrtimit të referuar në Nenin 93(2).
Për shkaqe të urgjencës dhe të justifikuara rregullisht, Komisioni miraton menjëherë aktet zbatuese në
pajtim me procedurën e referuar në Nenin 93(3).
6. Komisioni hyn në bisedime me vendin e tretë ose organizatën ndërkombëtare me synim
korrigjimin e situatës që shkakton vendimin e marrë në pajtim me paragrafin 5.
7. Një vendim në pajtim me paragrafin 5 të këtij Neni nuk cenon transferimet e të dhënave
personale tek vendi i tretë, një territor ose një apo disa sektorë të specifikuar brenda atij vendi të tretë
ose organizatë ndërkombëtare në fjalë në pajtim me Nenin 46 deri 49.
8. Komisioni publikon në Gazetën Zyrtare të Bashkimit Evropian dhe në faqen e internetit një
listë të vendeve të treta, territoreve dhe sektorëve të specifikuar brenda një vendi të tretë dhe
organizatave ndërkombëtare për të cilat ai ka vendosur një nivel të përshtatshëm mbrojtjeje ose nuk
vazhdon të garantohet.
9. Vendimet e miratuara nga Komisioni mbi bazën e Nenit 25(5) të Direktivës 95/46/BE mbeten
në fuqi deri sa të ndryshohen, zëvendësohen ose anulohen nga një Vendim i Komisionit të miratuar
në pajtim me paragrafin 3 ose 5 të këtij Neni.
Neni 46
Transferimet që u nënshtrohen garancive të përshtatshme
1. Në mungesë të një vendimi në pajtim me Nenin 45(3), një kontrollues ose përpunues mund të
transferojë të dhëna personale në një vend të tretë ose organizatë ndërkombëtare vetëm nëse
kontrolluesi ose përpunuesi ka dhënë garancitë e përshtatshme dhe me kusht që të ekzistojnë të drejtat
e realizueshme të subjektit të të dhënave dhe mjeteve ligjore të efektshme për subjektet e të dhënave.
2. Garancitë e përshtatshme të përmendura në paragrafin 1 mund të parashikohen, pa kërkuar
autorizim specifik nga një autoritet mbikëqyrës, nëpërmjet:
(a) Një instrumenti ligjërisht detyrues dhe të ekzekutueshëm ndërmjet autoriteteve ose organeve
publike;
(b) Rregullave të brendshme detyruese në pajtim me Nenin 47;
(c) Klauzolave standarde për mbrojtjen e të dhënave të miratuara nga Komisioni në pajtim me
procedurën e shqyrtimit të përmendur në Nenin 93(2);
(d) Klauzolave standarde për mbrojtjen e të dhënave nga një autoritet mbikëqyrës dhe të aprovuar
nga Komisioni në pajtim me procedurën e shqyrtimit të përmendur në Nenin 93(2);
(e) Një kodi të aprovuar sjelljeje në pajtim me Nenin 40 së bashku me angazhimet detyruese dhe
të zbatueshme të kontrolluesit dhe përpunuesit në vendin e tretë për të zbatuar garancitë e
përshtatshme, duke përfshirë ato në lidhje me të drejtat e subjekteve të të dhënave; ose
(f) Një mekanizmi të aprovuar certifikimi në pajtim me Nenin 42 së bashku me angazhimet
detyruese dhe të zbatueshme të kontrolluesit dhe përpunuesit në vendin e tretë për të zbatuar garancitë
e përshtatshme, duke përfshirë ato në lidhje me të drejtat e subjekteve të të dhënave.
3. Në pajtim me autorizimin nga autoriteti mbikëqyrës kompetent, garancitë e përshtatshme të
përmendura në paragrafin 1 mund të jepen veçanërisht, nëpërmjet:
(a) Klauzolave kontraktuale ndërmjet kontrolluesit ose përpunuesit dhe kontrolluesit, përpunuesit
ose marrësit të të dhënave personale në vendin e tretë ose organizatës ndërkombëtare; ose
(b) Dispozitave të përfshira në masat administrative ndërmjet autoriteteve publike ose organeve që
përfshijnë të drejtat e zbatueshme dhe efektive të subjekteve të të dhënave.
4. Autoriteti mbikëqyrës zbaton mekanizmin e njëtrajtshmërisë të përmendur në Nenin 63 në
rastet e përmendura në paragrafin 3 të këtij Neni.
5. Autorizimet nga një Shtet Anëtar ose autoritet mbikëqyrës në bazë të Nenit 26(2) të
Direktivës 95/46/BE mbeten të vlefshme deri sa të ndryshohen, zëvendësohen ose anulohen, sipas
rastit, nga ai autoritet mbikëqyrës. Vendimet e miratuara nga Komisioni mbi bazën e Nenit 26(2) të
Direktivës 95/46/BE mbeten në fuqi deri sa të ndryshohen, zëvendësohen ose anulohen, sipas rastit,
nga një Vendim i Komisionit të miratuar në pajtim me paragrafin 2 të këtij Neni.
Neni 47
Rregullat e brendshme detyruese
1. Autoriteti mbikëqyrës kompetent aprovon rregullat detyruese të brendshme në pajtim me
mekanizmin e njëtrajtshmërisë të përcaktuar në nenin 63, me kusht që ato:
(a) të jenë ligjërisht detyruese dhe të zbatohen nga çdo anëtar i interesuar i grupit të ndërmarrjeve
ose grupit të ndërmarrjeve të angazhuara në një aktivitet të përbashkët ekonomik, duke përfshirë
punonjësit e tyre;
(b) u caktojnë shprehimisht subjekteve të të dhënave të drejta të ekzekutueshme në lidhje me
përpunimin e të dhënave të tyre personale; dhe
(c) të përmbushin kërkesat e parashikuar në paragrafin 2.
2. Rregullat detyruese të brendshme të referuara në paragrafin 1 specifikojnë të paktën:
(a) strukturën dhe hollësitë e kontaktit të grupit të ndërmarrjeve ose grupit të ndërmarrjeve të
angazhuar në një aktivitet ekonomik të përbashkët dhe secilit prej anëtarëve të tij;
(b) transferimet e të dhënave ose kompletet e transferimeve, duke përfshirë kategoritë e të
dhënave personale, tipin e përpunimit dhe qëllimeve të tij, tipin e subjekteve të të dhënave të prekur
dhe identifikimin e vendit ose vendeve të treta në fjalë;
(c) natyrën e tyre ligjore detyruese, me efekt të brendshëm dhe të jashtëm;
(d) zbatimin e parimeve të përgjithshme për mbrojtjen e të dhënave, veçanërisht kufizimin e
qëllimit, minimizimin e të dhënave, afatet e kufizuara të ruajtjes, cilësinë e të dhënave, mbrojtjen e të
dhënave në mënyrë konkrete dhe abstrakte, bazën ligjore për përpunimin, përpunimin e kategorive të
veçanta të të dhënave personale, masat për të garantuar sigurinë e të dhënave dhe kërkesat në lidhje
me transferimet e mëtejshme tek organet që nuk u nënshtrohen rregullave detyruese të brendshme;
(e) të drejtat e subjekteve të të dhënave në lidhje me përpunimin dhe mjetet për të ushtruar ato të
drejta, duke përfshirë të drejtën për të mos iu nënshtruar vendimeve të bazuar vetëm në përpunim
automatik, duke përfshirë profilizimin në pajtim me Nenin 22, të drejtën për të paraqitur një ankim
tek autoriteti kompetent mbikëqyrës dhe para gjykatave kompetente të Shteteve Anëtare në pajtim me
Nenin 79 dhe të përftohet rikuperim dhe sipas rastit, kompensim për një shkelje të rregullave
detyruese të brendshme;
(f) pranimin nga kontrolluesi ose përpunuesi i vendosur në territorin e një Shteti Anëtar që është
përgjegjës për çdo shkelje të rregullave të brendshme detyruese nga një anëtar i interesuar që nuk
është i vendosur në Bashkim; kontrolluesi ose përpunuesi përjashtohet nga kjo përgjegjësi, pjesërisht
ose plotësisht, vetëm nëse provon që ai anëtar nuk është përgjegjës për ngjarjen që ka shkaktuar
dëmin;
(g) si jepet informacioni për rregullat e brendshme detyruese, veçanërisht për dispozitat e
referuara në pikat (d), (e) dhe (f) të këtij paragrafi për subjektet e të dhënave përveç Neneve 13 dhe
14;
(h) Detyrat e çdo nëpunësi për mbrojtjen e të dhënave të caktuar në pajtim me nenin 37 ose çdo
person tjetër ose subjekt i ngarkuar për përputhjen e monitorimit me rregullat e brendshme detyruese
brenda grupit të ndërmarrjeve ose grupit të ndërmarrjeve të angazhuara në një aktivitet të përbashkët
ekonomik, si dhe trajnimin mbi monitorimin dhe trajtimin e ankesave.
(i) procedurat e ankimit;
(j) mekanizmat brenda grupit të ndërmarrjeve, ose grupit të ndërmarrjeve të angazhuara në një
aktivitetet ekonomik të përbashkët për të garantuar verifikimin e përputhshmërisë me rregullat e
brendshme detyruese. Këto mekanizma përfshijnë auditimet për mbrojtjen e të dhënave dhe metodat
për të garantuar masat korrigjuese për të mbrojtur të drejtat e subjektit të të dhënave. Rezultatet e
këtij verifikimi duhet ti komunikohen personit ose subjektit të referuar në pikën (h) dhe bordit që
kontrollon ndërmarrjen ose grupin e ndërmarrjeve ose grupin e ndërmarrjeve të angazhuara në një
aktivitet ekonomik, dhe duhet të jenë të disponueshme me kërkesë të autoritetit kompetent
mbikëqyrës;
(k) mekanizmat e raportimit dhe regjistrimit të ndryshimeve në rregullat dhe raportimin e këtyre
ndryshimeve tek autoriteti mbikëqyrës;
(l) mekanizmi i bashkëpunimit me autoritetin mbikëqyrës për të garantuar respektimin nga çdo
anëtar i grupit të ndërmarrjeve ose grupit të ndërmarrjeve të angazhuara në një aktivitet ekonomik të
përbashkët, veçanërisht duke i ofruar autoritetit mbikëqyrës rezultatet e verifikimeve të masave të
referuara në pikën (j);
(m) mekanizmat e raportimit tek autoriteti mbikëqyrës kompetent të çdo kërkese ligjore të cilës i
nënshtrohet një anëtar i grupit të ndërmarrjeve ose grupi ndërmarrjeve të angazhuara në një aktivitet
të përbashkët ekonomik në një vend të tretë që mund të kenë një efekt të konsiderueshëm negativ për
garancitë e dhëna nga rregullat detyruese të brendshme; dhe
(n) trajnimin e përshtatshëm për mbrojtjen e të dhënave personale për personelin që ka akses të
përhershëm ose të rregullt tek të dhënat personale.
3. Komisioni mund të specifikojë formatin dhe procedurat për shkëmbimin e informacionit
ndërmjet kontrolluesve, përpunuesve dhe autoriteteve mbikëqyrëse për rregullat e brendshme
detyruese brenda kuptimit të këtij Neni. Këto akte zbatuese miratohen në pajtim me procedurën e
shqyrtimit të përcaktuar në Nenin 93(2).
Neni 48
Transferime ose deklarimet e paautorizuara nga e drejta e Bashkimit
Çdo vendim gjykate ose tribunali dhe çdo vendim i një autoriteti administrativ i një vendi të tretë që i
kërkon një kontrolluesi ose përpunuesi të transferojë ose deklarojë të dhënat personale mund të njihet
ose të jetë i ekzekutueshëm në çdo mënyrë nëse bazohet në një marrëveshje ndërkombëtare, si një
traktat i ndihmës së ndërsjellë juridike, në fuqi ndërmjet vendit të tretë kërkues të Bashkimit ose një
Shteti Anëtar, pa cenuar shkaqet e tjera të transferimit sipas këtij Kapitulli.
Neni 49
Shmangiet për shkak të situatave specifike
1. Në mungesë të një vendimi përshtatshmërie në pajtim me Nenin 45(3), ose të garancive të
përshtatshme sipas nenit 46, duke përfshirë rregullat e brendshme detyruese, një transferim ose një
komplet transferimesh i të dhënave personale tek një vend i tretë ose organizatë ndërkombëtare kryhet
vetëm më një nga kushtet e mëposhtme:
(a) subjekti i të dhënave ka dhënë pëlqimin shprehimisht për transferimin e propozuar, pas
informimit në lidhje me risqet e mundshme të këtyre transferimeve për subjektet e të dhënave për
shkak të mungesës së një vendimi të përshtatshmërisë ose garancive të përshtatshme;
(b) transferimi është i nevojshëm për përmbushjen e një kontrate ndërmjet subjektit të të dhënave
dhe kontrolluesit ose zbatimin e masave para-kontraktuale të marra me kërkesë të subjektit të të
dhënave;
(c) transferimi është i nevojshëm për përfundimin ose përmbushjen e një kontrate të përfunduar në
interes të subjektit të të dhënave ndërmjet kontrolluesit dhe një personi tjetër fizik ose juridik;
(d) transferimi është i nevojshëm për shkaqe të rëndësishme të interesit publik;
(e) transferimi është i nevojshëm për ngritjen, ushtrimin ose mbrojtjen e pretendimeve ligjore;
(f) transferimi është i nevojshëm për të mbrojtur interesat jetike për subjektin e të dhënave ose të
personave të tjerë, nëse subjekti i të dhënave është fizikisht ose ligjërisht i pazotë për të dhënë
pëlqimin;
(g) transferimi bëhet nga një regjistër që sipas së drejtës së Bashkimit ose të Shtetit Anëtar synon
të japë informacion për publikun dhe që është i hapur për tu konsultuar nga publiku i gjerë ose nga
çdo person që mund të demonstrojë një interes legjitim, por vetëm në masën që të përmbushen
kushtet e parashikuara nga e drejta e Bashkimit ose e Shtetit Anëtar për konsultimet në rastin e
veçantë.
Nëse një transferim nuk mund të bazohet në një dispozitë në Nenin 45 ose 46, duke përfshirë
dispozitat për rregullat e brendshme detyruese, dhe asnjë nga shmangiet për shkak të situatave
specifike të referuara në nën-paragrafin e parë të këtij paragrafi nuk mund të zbatohen, një transferim
në një vend të tretë ose një organizatë ndërkombëtare mund të kryhet vetëm nëse transferimi nuk
është e përsëritur, ka të bëjë vetëm me një numër të kufizuar të subjekteve të të dhënave, është e
nevojshme për qëllimet e interesave detyrues ligjorë që ndiqet nga kontrolluesi që nuk tejkalohen nga
interesat ose të drejtat dhe liritë e subjektit të të dhënave dhe kontrolluesi ka vlerësuar të gjitha të
rrethanat që kanë të bëjnë me transferimin e të dhënave dhe mbi bazën e këtij vlerësimi ka dhënë
garanci të përshtatshme në lidhje me mbrojtjen e të dhënave personale. Kontrolluesi njofton për
transferimin autoritetin mbikëqyrës. Kontrolluesi, përveç dhënies së informacionit të referuar në
Nenet 13 dhe 14, njofton subjektin e të dhënave për transferimin dhe për interesat detyrues legjitimë
të ndjekur.
2. Një transferim në pajtim me pikën (g) të nën-paragrafit të parë të paragrafit 1 nuk përfshin
tërësinë e të dhënave personale ose të gjitha kategoritë e të dhënave personale që gjenden në regjistër.
Nëse regjistri është i destinuar të konsultohet nga personat që kanë një interes të ligjshëm, transferimi
bëhet vetëm me kërkesë të atyre personave ose nëse ata duhet të jenë marrësit.
3. Pikat (a), (b) dhe (c) të nën-paragrafit të parë të paragrafit 1 dhe nën-paragrafi dytë i tij nuk
zbatohen për aktivitetet e kryera nga autoritetet publike në ushtrim të kompetencave të tyre publike.
4. Interesi publik i referuar në pikën (d) të nën-paragrafit të parë të paragrafit 1 njihet nga ligji i
Bashkimit ose në ligjin e Shtetit Anëtar të cilit i nënshtrohet kontrolluesi.
5. Në mungesë të një vendimi përshtatshmërie, e drejta e Bashkimit ose e Shtetit Anëtar, për
shkaqe të rëndësishme të interesit publik, cakton shprehimisht kufij për transferimin e kategorive të
caktuara të të dhënave personale në një vend të tretë ose një organizatë ndërkombëtare. Shtetet
Anëtare ia njoftojnë këto dispozita Komisionit.
6. Kontrolluesi ose përpunuesi dokumenton vlerësimin si dhe garancitë e përshtatshme të
referuara në nën-paragrafin e dytë të paragrafit 1 të këtij Neni në regjistrat e referuara në Nenin 30.
Neni 50
Bashkëpunimi ndërkombëtar për mbrojtjen e të dhënave personale
Në lidhje me vendet e treta dhe organizatat ndërkombëtare, Komisioni dhe autoritetet mbikëqyrës
marrin hapat e duhur për të:
(a) zhvilluar mekanizma të bashkëpunimit ndërkombëtar për të lehtësuar ekzekutimin e efektshëm
të legjislacionit për mbrojtjen e të dhënave personale;
(b) dhënë ndihmë të ndërsjellë ndërkombëtare në zbatimin e legjislacionin për mbrojtjen e të
dhënave personale, duke përfshirë nëpërmjet njoftimit, referimit të ankesës, asistencës në hetim dhe
shkëmbimin e informacionit, duke iu nënshtruar garancive të përshtatshme për mbrojtjen e të dhënave
personale dhe të drejtave dhe lirive të tjera themelore;
(c) angazhuar aktorët përkatës në diskutime dhe aktivitete që synojnë bashkëpunim të mëtejshëm
ndërkombëtar në zbatimin e legjislacionit për mbrojtjen e të dhënave personale;
(d) nxitur shkëmbimin dhe dokumentimin e legjislacionit dhe praktikës për mbrojtjen e të dhënave
personale, duke përfshirë konfliktet juridiksionale me vendet e treta.
KAPITULLI VI
Autoritetet mbikëqyrës të pavarur
Seksioni 1
Statusi i pavarur
Neni 51
Autoriteti mbikëqyrës
1. Secili Shtet Anëtar parashikon që një ose më shumë autoritete publike të pavarura janë
përgjegjës për monitorimin e zbatimit të kësaj Rregulloreje, me qëllim që të mbrohen të drejtat dhe
liritë themelore të personave fizikë në lidhje me përpunimin dhe të lehtësohet fluksi i lirë i të dhënave
personale brenda Bashkimit (‘autoriteti mbikëqyrës’).
2. Secili autoritet mbikëqyrës kontribuon në zbatimin e njëtrajtshëm të kësaj Rregulloreje në të
gjithë Bashkimin. Për këtë qëllim, autoritetet mbikëqyrëse bashkëpunojnë me njëri-tjetrin dhe
Komisionin në pajtim me Kapitullin VII.
3. Nëse në një shtet Anëtar ngrihet më shumë se një autoritet mbikëqyrës, ky Shtet Anëtar
cakton autoritetin mbikëqyrës që duhet të përfaqësojë ato autoritete në Bord dhe përcakton
mekanizmat për të garantuar respektimin nga autoritetet të rregullave në lidhje me mekanizmin e
njëtrajtshmërisë, të referuara në Nenin 63.
4. Secili Shtet Anëtar i njofton Komisionit dispozitat e së drejtës së vet që ai i miraton në pajtim
me Kapitullin 25 maj 2018 dhe pa vonesë, çdo ndryshim pasues që prek ato.
Neni 52
Pavarësia
1. Çdo autoritet mbikëqyrës vepron me pavarësi të plotë në përmbushjen e detyrave dhe
ushtrimin e kompetencave në pajtim me këtë Rregullore.
2. Anëtari ose anëtarët e çdo autoriteti mbikëqyrës, në përmbushje të detyrave të tyre dhe
ushtrim të kompetencave të tyre në pajtim me këtë Rregullore, mbetet i lirë nga ndikimi i jashtëm, i
drejtpërdrejtë ose jo, dhe nuk kërkon dhe nuk merr udhëzime nga askush.
3. Anëtari ose anëtarët e çdo autoriteti mbikëqyrës distancohen nga çdo veprim që nuk është në
pajtim me detyrat e tyre dhe, gjatë mandatit të tyre, nuk angazhohen në asnjë aktivitet që nuk
përputhet me të, fitimprurës ose jo.
4. Secili Shtet Anëtar garanton që çdo autoriteti mbikëqyrës ti vihen në dispozicion burime
njerëzore, teknike dhe financiare, mjedise dhe infrastruktura e nevojshme për përmbushjen e
efektshme të detyrave të tij dhe ushtrimin e kompetencave, duke përfshirë ato që kryhen në kontekstin
e ndihmës së ndërsjellë, bashkëpunimit dhe pjesëmarrjes në Bord.
5. Çdo Shtet Anëtar garanton që çdo autoritet mbikëqyrës të zgjedhë dhe të ketë personelin e tij
që u nënshtrohet udhëzimeve ekskluzive të anëtarit ose anëtarëve të autoritetit mbikëqyrës përkatës.
6. Çdo Shtet Anëtar garanton që secili autoritet mbikëqyrës ti nënshtrohet kontrollit financiar që
nuk prek pavarësinë e tij dhe që të ketë buxhet të pavarur, publik dhe vjetor, që mund të jetë pjesë e
buxhetit të përgjithshëm të shtetit ose kombëtar.
Neni 53
Kushte të përgjithshme për anëtarët e autoritetit mbikëqyrës
1. Shtetet Anëtare parashikojnë që çdo anëtar i autoriteteve të tyre mbikëqyrës të caktohet me
anë të një procedure transparente nga:
— parlamenti i tyre;
— qeveria e tyre;
— kreu i shtetit të tyre; ose
— një organ i pavarur i ngarkuar me emërimin sipas së drejtës së Shtetit Anëtar.
2. Çdo anëtar ka kualifikimet, eksperiencën dhe aftësitë, veçanërisht në sferën e mbrojtjes së të
drejtave personale, që kërkohen për të përmbushur detyrat dhe ushtruar kompetencat e tyre.
3. Detyrat e një anëtari përfundojnë në rastin e skadimit të mandatit, dorëheqjes ose daljes së
detyruar në pension, në pajtim me të drejtën e Shtetit Anëtar përkatës.
4. Një anëtar pushohet vetëm në rastet e sjelljes së rëndë ose nëse anëtari nuk vazhdon të
përmbushë kushtet e kërkuara për përmbushjen e detyrave.
Neni 54
Rregullat për ngritjen e autoritetit mbikëqyrës
1. Çdo Shtet Anëtar parashikon me ligj sa më poshtë:
(a) ngritjen e çdo autoriteti mbikëqyrës;
(b) kualifikimet dhe kushtet e përshtatshmërisë që kërkohen për tu emëruar anëtar i çdo autoriteti
mbikëqyrës;
(c) rregullat dhe procedurat për emërimin e anëtarit ose anëtarëve të çdo autoriteti mbikëqyrës;
(d) kohëzgjatjen e mandatit të anëtarit ose anëtarëve të çdo autoriteti mbikëqyrës prej jo më pak se
katër vjet, përveç emërimit të parë pas datës 24 maj 2016, pjesë e të cilit mund të jetë për një periudhë
më të shkurtër nëse kjo është e nevojshme për të mbrojtur pavarësinë e autoritetit mbikëqyrës
nëpërmjet procedurës së emërimit të shtyrë në kohë;
(e) nëse dhe nëse është rasti, për sa mandate është i përshtatshëm për riemërim anëtari ose anëtarët
e secilit autoritet mbikëqyrës;
(f) kushtet që rregullojnë detyrimet e anëtarit ose anëtarëve dhe personelit të secilit autoritet
mbikëqyrës, ndalimet e veprimeve, angazhimet dhe përfitimet që nuk janë në pajtim me të gjatë dhe
pas mandatit dhe rregullat që rregullojnë ndërprerjen e punësimit.
2. Anëtari ose anëtarët dhe personeli secilit autoritet mbikëqyrës, në pajtim me të drejtën e
Bashkimit ose Shteteve Anëtare, i nënshtrohen detyrimit të fshehtësisë profesionale gjatë dhe pas
mandatit, në lidhje me çdo informacion konfidencial që ka ardhur në dijeni të tyre në vazhdën e
përmbushjes së detyrave dhe ushtrimit të kompetencave. Gjatë mandatit të tyre, detyrimi i fshehtësisë
profesionale zbatohet veçanërisht në lidhje me raportimin nga personat fizikë mbi shkeljet e kësaj
Rregulloreje.
Seksioni 2
Kompetenca, detyrat dhe tagrat
Neni 55
Kompetenca
1. Çdo autoritet mbikëqyrës është kompetent për kryerjen e detyrave të caktuara dhe ushtrimin e
tagrave të dhëna atij në pajtim me këtë Rregullore në territorin e Shtetit të vet Anëtar.
2. Nëse përpunimi kryhet nga autoritetet publike ose subjekte private që veprojnë në bazë të
pikës (c) ose (e) të Nenit 6(1), kompetent është autoriteti mbikëqyrës i Shtetit Anëtar përkatës. Në
këto raste nuk zbatohet Neni 56.
3. Autoritetet mbikëqyrëse nuk kanë kompetencë të mbikëqyrin operacionet përpunuese të
gjykatave që veprojnë në cilësinë e tyre gjyqësore.
Neni 56
Kompetenca e autoritetit mbikëqyrës epror
1. Pa cenuar Nenin 55, autoriteti mbikëqyrës i selisë ose i një dege të kontrolluesit ose
përpunuesit ka kompetencë të veprojë si autoritet mbikëqyrës epror për përpunimin ndërkufitar të
kryer nga ai kontrollues ose përpunues në pajtim me procedurën e parashikuar në Nenin 60.
2. Ndryshe nga paragrafi 1, çdo autoritet mbikëqyrës ka kompetencë të trajtojë një ankim të
paraqitur atij ose një shkelje të mundshme të kësaj Rregulloreje, nëse çështja ka të bëjë vetëm me një
degë në Shtetin e tij Anëtar ose prek në mënyrë thelbësore subjektet e të dhënave vetëm në Shtetin e
tij Anëtar.
3. Në rastet e përmendura në paragrafin 2 të këtij Neni, autoriteti mbikëqyrës informon
autoritetin mbikëqyrës epror pa vonesë për çështjen. Brenda një periudhe tre-javore nga njoftimi,
autoriteti mbikëqyrës epror vendos nëse ai do ta trajtojë çështjen në pajtim me procedurën e
parashikuar në Nenin 60 ose jo, duke marrë parasysh nëse ka një degë të kontrolluesit ose të
përpunuesit në Shtetin Anëtar autoriteti mbikëqyrës i të cilit ka informuar atë.
4. Nëse autoriteti mbikëqyrës epror vendos të trajtojë çështjen, zbatohet procedura e parashikuar
në Nenin 60. Autoriteti mbikëqyrës i cili informoi autoritetin mbikëqyrës epror mund ti paraqesë
autoritetit mbikëqyrës epror një projekt për një vendim. Autoriteti mbikëqyrës epror i kushton
rëndësi të madhe projektit gjatë përgatitjes së projekt-vendimit të përmendur në Nenin 60(3).
5. Nëse autoriteti mbikëqyrës epror vendos të mos e trajtojë çështjen, autoriteti mbikëqyrës që
informoi autoritetin mbikëqyrës epror e trajton atë në pajtim me Nenet 61 dhe 62.
6. Autoriteti mbikëqyrës epror është pika e vetme e kontaktit për kontrolluesin ose përpunuesin
për përpunimin ndërkufitar të kryer nga ai kontrollues ose përpunues.
Neni 57
Detyrat
1. Pa cenuar detyrat e tjera të përcaktuara sipas kësaj Rregulloreje, çdo autoritet mbikëqyrës në
territorin e vet:
(a) Monitoron dhe realizon zbatimin e kësaj Rregulloreje;
(b) Nxit ndërgjegjësimin dhe konceptimin publik për rreziqet, rregullat, garancitë dhe të drejtat në
lidhje me përpunimin. Aktiviteteve që u drejtohen specifikisht fëmijëve u kushtohet vëmendje e
veçantë;
(c) Këshillon, në pajtim me të drejtën e Shtetit Anëtar, parlamentin, qeverinë institucionet dhe
organet e tjera të brendshme mbi masat legjislative dhe administrative në lidhje me mbrojtjen e të
drejtave dhe lirive të personave fizikë për sa i takon përpunimit;
(d) Nxit ndërgjegjësimin e kontrolluesve dhe përpunuesve për detyrimet e tyre sipas kësaj
Rregulloreje;
(e) Me kërkesë, i jep informacion çdo subjekti të të dhënave në lidhje me ushtrimin e të drejtave
të tij sipas kësaj Rregulloreje dhe sipas rastit, bashkëpunon me autoritetet mbikëqyrëse në Shtetet e
tjera Anëtare për këtë qëllim;
(f) Trajton ankimet e paraqitura nga një subjekt i të dhënave ose nga një organ, organizatë ose
shoqatë në pajtim me Nenin 80 dhe heton, në masën e duhur, themelin e ankesës dhe informon
ankuesin në lidhje me mbarëvajtjen dhe rezultatin e hetimit brenda një afati të arsyeshëm, veçanërisht
nëse është i nevojshëm hetimi i mëtejshëm apo bashkërendimi me një organ tjetër mbikëqyrës;
(g) Bashkëpunon, duke përfshirë shkëmbimin e informacionit dhe dhënien e ndihmës së
ndërsjellë autoriteteve të tjera mbikëqyrëse me qëllim garantimin e njëtrajtshmërisë së zbatimit dhe
ekzekutimit të kësaj Rregulloreje;
(h) Zhvillon hetime në lidhje me zbatimin e kësaj Rregulloreje, duke përfshirë në bazë të
informacionit të marrë nga një organ tjetër mbikëqyrës ose autoritet tjetër publik;
(i) Monitoron zhvillimet përkatëse, në masën që ato kanë ndikim mbi mbrojtjen e të dhënave
personale, veçanërisht zhvillimin e teknologjive të informacionit dhe komunikimit dhe praktikave
tregtare;
(j) Cakton klauzola kontraktuale standarde të përmendura në Nenin 28(8) dhe pika (d) e Nenit
46(2);
(k) Përpilon dhe mban një listë në lidhje me kërkesën për vlerësimin e ndikimit mbi mbrojtjen e të
dhënave në pajtim me Nenin 35(4);
(l) Jep këshillim mbi operacionet e përpunimit të përmendura në Nenin 36(2);
(m) Inkurajon hartimin e kodeve të sjelljes në pajtim me Nenin 40(1) dhe jep një mendim dhe
aprovon këto kode sjelljeje që ofrojnë garanci të mjaftueshme, në pajtim me Nenin 40(5);
(n) Inkurajon ngritjen e mekanizmave të certifikimit të mbrojtjes së të dhënave dhe të vulave dhe
shenjave të mbrojtjes së të dhënave në pajtim me Nenin 42(1), dhe aprovon kriteret e certifikimit në
pajtim me Nenin 42(5);
(o) Sipas rastit, kryhen një rishikim periodik të certifikimeve të dhëna në pajtim me Nenin 42(7);
(p) Përpilon dhe publikon kriteret për akreditimin e një organi për monitorimin e kodeve të
sjelljes në pajtim me Nenin 41 dhe të një organi certifikimi në pajtim me Nenin 43;
(q) Kryen akreditimin e një organi për monitorimin e kodeve të sjelljes në pajtim me Nenin 41
dhe të një organi certifikimi në pajtim me Nenin 43;
(r) Autorizon klauzolat kontraktuale dhe dispozitat e përmendura në Nenin 46(3);
(s) Aprovon rregulla detyruese të brendshme në pajtim me Nenin 47;
(t) Kontribuon në aktivitetet e Bordit;
(u) Mban regjistra të brendshëm për shkeljet e kësaj Rregulloreje dhe të masave të marra në
pajtim me Nenin 58(2); dhe
(v) Përmbush çdo detyrë tjetër në lidhje me mbrojtjen e të dhënave personale.
2. Çdo autoritet mbikëqyrës lehtëson paraqitjen e ankesave të përmendura në pikën (f) të
paragrafit 1 me masa të tilla si një formular për paraqitjen e kërkesës që mund të mbushet edhe
elektronikisht, pa përjashtuar masa të tjera të komunikimit.
3. Kryerja e detyrave të tjera nga secili autoritet mbikëqyrës është falas për subjektin e të
dhënave dhe, sipas rastit, për nëpunësin e mbrojtjes së të dhënave.
4. Nëse kërkesat janë haptazi të pabazuara ose të tepërta, veçanërisht për shkak të karakterit të
tyre përsëritës, autoriteti mbikëqyrës mund të vendosë një tarifë të arsyeshme, bazuar në shpenzimet
administrative ose të refuzojë të veprojë në bazë të kërkesës. Autoriteti mbikëqyrës ka barrën e
demonstrimit të karakterit haptazi të pabazuar ose të tepër të kërkesës..
Neni 58
Tagrat
1. Secili autoritet mbikëqyrës ka të gjithë tagrat e mëposhtëm për hetim:
(a) Të urdhërojë kontrolluesin dhe përpunuesin, dhe sipas rastit, përfaqësuesin e kontrolluesit ose
përfaqësuesit të japë çdo inflamacion që i duhet për të përmbushur detyrat e tij;
(b) Të kryejë hetime në formën e auditimeve të mbrojtjes së të dhënave;
(c) Të kryejë një rishikim të certifikimeve të dhëna në pajtim me Nenin 42(7);
(d) Të njoftojë kontrolluesin ose përpunuesin për një shkelje të pretenduar të kësaj Rregulloreje;
(e) Të përftojë nga kontrolluesi ose përpunuesi akses tek të gjitha të dhënat personale dhe tek të
gjithë informacioni i nevojshëm për përmbushjen e detyrave të tij;
(f) Të përftojë akses tek çdo mjedis i kontrolluesit ose përpunuesit, duke përfshirë çdo pajisje dhe
mjet për përpunimin e të dhënave, në pajtim me të drejtën procedurale të Bashkimit ose Shtetit
Anëtar.
2. Secili autoritet mbikëqyrës ka të gjithë tagrat e mëposhtëm korrigjues:
(a) Të nxjerrë paralajmërime për një kontrollues ose përpunues që operacionet përpunuese të
synuara mund të shkelin dispozitat e kësaj Rregulloreje;
(b) Ti tërheqë vëmendjen një kontrolluesi ose përpunuesi nëse operacionet përpunuese kanë
shkelur dispozitat e kësaj Rregulloreje;
(c) Të urdhërojë kontrolluesin ose përpunuesin të përmbushë kërkesat e subjektit të të dhënave për
të ushtruar të drejtat e tij ose të saj në pajtim me këtë Rregullore;
(d) Të urdhërojë kontrolluesin ose përpunuesin ti sjellë operacionet e përpunimit në pajtim me
dispozitat e kësaj Rregulloreje, sipas rastit, në një mënyrë të specifikuar dhe brenda një afati të
specifikuar;
(e) Të urdhërojë kontrolluesin ti komunikojë subjektit të të dhënave një shkelje në lidhje me të
dhënat personale;
(f) Të vendosë një kufizim të përkohshëm ose të përhershëm duke përfshirë ndalimin e
përpunimit;
(g) Të urdhërojë korrigjimin ose fshirjen e të dhënave personale ose kufizimin e përpunimit në
pajtim me Nenet 16, 17 dhe 18 dhe njoftimin e këtyre veprimeve marrësve të cilëve u janë deklaruar
të dhënat personale në pajtim me Nenin 17(2) dhe Nenin 19;
(h) Të tërheqë një certifikim ose urdhërojë organin e certifikimit të tërheqë certifikimin në pajtim
me Nenet 42 dhe 43 ose të urdhërojë organin e certifikimit të mos lëshojë certifikimin nëse nuk
përmbushen ose nuk vazhdojnë të përmbushen kërkesat e certifikimit;
(i) Të vendosë gjobë administrative në pajtim me Nenin 83, përveç, ose në vend të masave të
përmendura në këtë paragraf, në varësi të rrethanave të çdo rasti individual;
(j) Të urdhërojë pezullimin e fluksit të të dhënave tek një marrës në një vend të tretë ose një
organizatë ndërkombëtare.
3. Secili autoritet mbikëqyrës ka të gjithë autorizimet dhe tagrat e mëposhtëm këshillues:
(a) Të këshillojë kontrolluesin në pajtim me procedurën paraprake të konsultimeve të përmendur
në Nenin 36;
(b) Të lëshojë, me iniciativë të vet ose me kërkesë, opinione për parlamentin e brendshëm,
qeverinë e Shtetit Anëtar ose në pajtim me të drejtën e Shtetit Anëtar, për institucionet dhe organet e
tjera si dhe publikon për çdo çështje në lidhje me mbrojtjen e të dhënave personale;
(c) Të autorizojë përpunimin e përmendur në Nenin 36(5), nëse ligji i Shtetit Anëtar kërkon një
autorizim të tillë paraprak;
(d) Të lëshojë një opinion dhe të aprovojë projekt-kodet e sjelljes në pajtim me Nenin 40(5);
(e) Të akreditojë organet e certifikimit në pajtim me Nenin 43;
(f) Të lëshojë certifikatat dhe aprovojë kriteret e certifikimit në pajtim me Nenin 42(5);
(g) Të miratojë klauzola standarde për mbrojtjen e të dhënave të përmendura në Nenin 28(8) dhe
pika (d) e Nenit 46(2);
(h) Të autorizojë klauzola kontraktuale standarde të përmendura në pikën (d) e Nenit 46(3);
(i) Të autorizojë masat administrative të përmendura në pikën (b) të Nenit 46(3);
(j) Të aprovojë rregulla detyruese të brendshme në pajtim me Nenin 47.
4. Ushtrimi i tagrave të dhëna autoritetit mbikëqyrës në pajtim me këtë Nen u nënshtrohet
garancive të përshtatshme, duke përfshirë mjetet gjyqësore të efektshme dhe procesin e rregullt, të
caktuar në të drejtën e Bashkimit dhe Shtetit Anëtar në pajtim me Kartën.
5. Secili Shtet Anëtar parashikon me ligj që autoriteti i tij mbikëqyrës të ketë tagrin të sjellë
shkeljet e kësaj Rregulloreje në vëmendje të autoriteteve gjyqësore dhe sipas rastit, të fillojë ose
angazhohet ndryshe në çështje gjyqësore, me qëllim që të zbatojë dispozitat e kësaj Rregulloreje.
6. Secili shtet Anëtar mund të parashikojë me ligj që autoriteti i tij mbikëqyrës të ketë tagra
shtesë ndaj atyre që përmenden në paragrafët 1, 2 dhe 3. Ushtrimi i këtyre tagrave nuk cenon
zbatimin e efektshëm të Kapitullit VII.
Neni 59
Raportet e aktivitetit
Çdo autoritet mbikëqyrës përpilon një raport vjetor mbi aktivitetet e tij, që mund të përfshijnë një listë
të tipave të shkeljeve të njoftuara dhe tipat e masave të marra në pajtim me nenin 58(2). Këto raporte
u transmetohen parlamenteve të brendshme, qeverive dhe autoriteteve të tjera që caktohen nga e
drejta e Shtetit Anëtar. Ato i ofrohen publikut, Komisionit dhe Bordit.
KAPITULLI VII
Bashkëpunimi dhe njëtrajtshmëria
Seksioni 1
Bashkëpunimi
Neni 60
Bashkëpunimi ndërmjet autoritetit mbikëqyrës epror dhe autoriteteve të tjera mbikëqyrëse të
interesuar
1. Autoriteti mbikëqyrës epror bashkëpunon me autoritetet e tjera mbikëqyrës të interesuar në
pajtim me këtë nen dhe përpiqet për të arritur konsensus. Autoriteti mbikëqyrës epror dhe autoritetet
mbikëqyrës të interesuar shkëmbejnë të gjithë informacionin përkatës me njeri-tjetrin.
2. Autoriteti mbikëqyrës epror mund tu kërkojë në çdo kohë autoriteteve të tjerë mbikëqyrëse të
interesuar për të dhënë ndihmë të ndërsjellë në pajtim me nenin 61 dhe mund të zhvillojë operacione
të përbashkëta në pajtim me Nenin 62, veçanërisht në kryerjen e hetimeve ose për monitorimin e
zbatimit të një mase në lidhje me kontrollues ose përpunues të vendosur në një Shtet Anëtar tjetër.
3. Autoriteti mbikëqyrës epror, pa vonesë, ua komunikon informacionin për çështjen
autoriteteve të tjerë mbikëqyrës të interesuar. Ai u paraqet pa vonesë një projekt vendim autoriteteve
të tjerë mbikëqyrës të interesuar për mendim dhe merr parasysh si duhet mendimet e tyre.
4. Nëse ndonjë prej autoriteteve të tjerë mbikëqyrës të interesuar brenda një afati kohor prej
katër javësh pas konsultimit në pajtim me paragrafin 3 të këtij Neni shpreh një kundërshtim me vend
dhe të arsyetuar për projekt-vendimin, autoriteti mbikëqyrës epror, nëse ai nuk e përmbush
kundërshtimin përkatës dhe të arsyetuar ose është i mendimit që kundërshtimi nuk është me vend dhe
i arsyeshëm, ia paraqet çështjen mekanizmit të përputhshmërisë të referuar në Nenin 63.
5. Nëse autoriteti mbikëqyrës epror ka ndër mend të përmbushë kundërshtimin përkatës dhe të
arsyetuar që është bërë, ai u paraqet anëtarëve të tjerë mbikëqyrës një projekt vendim të rishikuar për
mendim. Ky projekt vendim i rishikuar i nënshtrohet procedurës të përmendur në paragrafin 4 brenda
një afati prej dy javësh.
6. Nëse asnjë prej autoriteteve të tjerë mbikëqyrës të interesuar nuk kundërshton projekt
vendimin e paraqitur nga autoriteti mbikëqyrës epror brenda afatit të referuar në paragrafët 4 dhe 5,
autoriteti mbikëqyrës epror dhe autoritetet mbikëqyrëse të interesuar konsiderohen të jenë dakord me
atë projekt vendim dhe i nënshtrohen atij.
7. Autoriteti mbikëqyrës epror miraton dhe i njofton vendimin strukturës kryesore ose strukturës
së vetme të kontrolluesit ose përpunuesit, sipas rastit, dhe njofton autoritetet e tjerë mbikëqyrës të
interesuar dhe Bordin në lidhje me vendimin në fjalë, duke përfshirë një përmbledhje të fakteve dhe
shkaqeve përkatëse. Autoriteti mbikëqyrës tek i cili është bërë një ankim njofton ankimuesin në lidhje
me vendimin.
8. Duke u shmangur nga paragrafi 7, nëse refuzohet ose rrëzohet një ankim, autoriteti
mbikëqyrës ku është bërë ankimi miraton vendimin dhe ia njofton atë ankimuesit dhe për këtë njofton
kontrolluesin.
9. Nëse autoriteti mbikëqyrës epror dhe autoritetet mbikëqyrëse të interesuar bien dakord të
rrëzojnë ose refuzojnë pjesë të një ankimi dhe të veprojnë për pjesët e tjera të atij ankimi, miratohet
një vendim i veçantë për secilën prej atyre pjesëve të çështjes. Autoriteti mbikëqyrës epror e miraton
vendimin për pjesën në lidhje me veprimet në lidhje me kontrolluesin, ia njofton atë strukturës
kryesore ose strukturës së vetme të kontrolluesit ose përpunuesit në territorin e Shtetit të tij Anëtar
dhe për këtë njofton ankimuesin, ndërsa autoriteti mbikëqyrës i ankimuesit e miraton vendimin për
pjesën në lidhje me rrëzimin ose refuzimin e atij ankimi dhe ia njofton atë ankimuesit si dhe njofton
për këtë kontrolluesin dhe përpunuesin.
10. Pas njoftimit për vendimin e autoritetit mbikëqyrës epror në pajtim me paragrafët 7 dhe 9,
kontrolluesi ose përpunuesi merr masat e nevojshme për të garantuar përputhshmërinë me vendimin
në lidhje me aktivitetet përpunuese në kontekstin e të gjitha strukturave të tij në Bashkim.
Kontrolluesi ose përpunuesi ia njofton masat e marra për të respektuar vendimin autoritetit
mbikëqyrës epror, që njofton autoritetet e tjera mbikëqyrëse të interesuara.
11. Nëse në rrethana të veçanta, autoriteti mbikëqyrës i interesuar ka shkaqe për të konsideruar
që ka një nevojë urgjente për të vepruar për të mbrojtur interesat e subjekteve të të dhënave, zbatohet
procedura e urgjencës e përmendur në Nenin 66.
12. Autoriteti mbikëqyrës epror dhe autoritetet e tjera mbikëqyrëse të interesuara i japin njëri-
tjetrit informacionin e kërkuar sipas këtij Neni me mjete elektronike, duke përdorur një format të
standardizuar.
Neni 61
Ndihma e ndërsjellë
1. Autoritetet mbikëqyrëse i japin njeri-tjetrit informacionin e duhur dhe ndihmë të ndërsjellë
për të zbatuar këtë Rregullore në një mënyrë të njëtrajtshme dhe merr masat për bashkëpunim të
efektshëm me njëri-tjetrin. Ndihma e ndërsjellë, veçanërisht, mbulon kërkesat për informacion dhe
masat mbikëqyrëse, si kërkesat për autorizimet dhe konsultimet, inspektimet dhe hetimet paraprake.
2. Çdo autoritet mbikëqyrës merr të gjitha masat e përshtatshme të kërkuara për t’iu përgjigjur
një kërkese të një autoriteti tjetër mbikëqyrës pa vonesë të panevojshme dhe jo më vonë se një muaj
pas marrjes së kërkesës. Kjo kërkesë mund të përfshijë veçanërisht transmetimin e informacionit mbi
zhvillimin e një hetimi.
3. Kërkesat për ndihmë përmbajnë të gjithë informacionin e nevojshëm, duke përfshirë qëllimin
dhe shkaqet e kërkesës. Informacioni i shkëmbyer përdoret vetëm për qëllimin për të cilin është
kërkuar.
4. Autoriteti mbikëqyrës i kërkuar nuk refuzon përmbushjen e kërkesës, përveç kur:
(a) nuk është kompetent për përmbajtjen e kërkesës ose për masat që kërkohen për ta ekzekutuar;
ose
(b) përmbushja e kërkesës do të shkelte këtë Rregullore ose të drejtën e Bashkimit ose shtetit
Anëtar të cilit i nënshtrohet autoriteti mbikëqyrës që merr kërkesën.
5. Autoriteti mbikëqyrës i kërkuar njofton autoritetin mbikëqyrës kërkues për rezultatet ose,
sipas rastit, përparimin e masave të marra për t’iu përgjigjur kërkesës. Autoriteti mbikëqyrës i kërkuar
jep arsyet për çdo refuzim për të respektuar një kërkesë në pajtim me paragrafin 4.
6. Autoritetet mbikëqyrëse të kërkuara, si rregull, e japin informacionin e kërkuar nga
autoritetet e tjera me mjete elektronike, duke përdorur një format të standardizuar.
7. Autoritetet mbikëqyrëse të kërkuara nuk kërkojnë tarifë për asnjë veprim të ndërmarrë prej
tyre në pajtim me një kërkesë për ndihmë të ndërsjellë. Autoritetet mbikëqyrëse mund të bien dakord
për rregullat për të zhdëmtuar njëri-tjetrin për shpenzimet specifike që rrjedhin nga dhënia e ndihmës
së ndërsjellë në rrethana të veçanta.
8. Nëse një autoritet mbikëqyrës nuk e jep informacionin e referuar në paragrafin 5 të këtij Neni
brenda një muaji nga marrja e kërkesës së një autoriteti tjetër mbikëqyrës, autoriteti mbikëqyrës
kërkues mund të miratojë një masë provizore në territorin e Shtetit të tij Anëtar në pajtim me Nenin
55(1). Në këtë rast, nevoja urgjente për të vepruar sipas Nenit 66(1) prezumohet të përmbushet dhe
kërkon një vendim urgjent detyrues nga Bordi në pajtim me Nenin 66(2).
9. Komisioni, me anë të akteve zbatuese mund të specifikojë formatin dhe procedurat për
ndihmë të ndërsjellë të referuar në këtë nen dhe masat për shkëmbimin e informacionit me mjete
elektronike ndërmjet autoriteteve mbikëqyrëse dhe ndërmjet autoriteteve mbikëqyrëse dhe Bordit,
veçanërisht formatin e standardizuar të referuar në paragrafin 6 të këtij Neni. Këto akte zbatuese
miratohen në pajtim me procedurën e shqyrtimit të referuar në Nenin 93(2).
Neni 62
Operacionet e përbashkëta të autoriteteve mbikëqyrëse
1. Autoritetet mbikëqyrëse, sipas rastit, kryejnë operacione të përbashkëta duke përfshirë hetime
të përbashkëta dhe masa ekzekutive të përbashkëta në të cilat angazhohen anëtarë ose personeli i
autoriteteve mbikëqyrëse të Shteteve të tjera Anëtare.
2. Nëse kontrolluesi ose përpunuesi ka struktura në disa Shtete Anëtare ose nëse një numër i
konsiderueshëm i subjekteve të të dhënave në më shumë se një Shtet Anëtar mund të preket nga
operacionet përpunuese, një autoriteti mbikëqyrës i secilit prej atyre Shteteve Anëtare ka të drejtën të
marrë pjesë në operacionet e përbashkëta. Autoriteti mbikëqyrës që është kompetent sipas nenit
56(1) ose (4) fton autoritetin mbikëqyrës të secilit prej atyre Shteteve Anëtare të marrin pjesë në
operacionet e përbashkëta dhe përgjigjen pa vonesë ndaj kërkesës së një autoriteti mbikëqyrës për të
marrë pjesë.
3. Një autoritet mbikëqyrës, në pajtim me të drejtën e Shtetit Anëtar, dhe me autorizimin e
autoritetit mbikëqyrës autorizues, mund të japë kompetenca, duke përfshirë kompetencat hetuese për
anëtarët ose personelin e autoritetit mbikëqyrës autorizues të përfshirë në operacionet e përbashkëta,
ose nëse e drejta e Shtetit Anëtar të autoritetit mbikëqyrës pritës e lejon anëtarët ose personelin e
autoritetit mbikëqyrës autorizues të ushtrojnë kompetencat e tyre në pajtim me të drejtën e Shtetit
Anëtar të autoritetit mbikëqyrës autorizues. Këto kompetenca hetimore mund të ushtrohen nën
udhëzimin dhe në prezencë të anëtarëve ose personelit të autoritetit mbikëqyrës pritës. Anëtarët ose
personeli autoritetit mbikëqyrës autorizues i nënshtrohen së drejtës së Shtetit Anëtar të autoritetit
mbikëqyrës pritës.
4. Nëse në pajtim me paragrafin 1, personeli i një autoriteti mbikëqyrës autorizues operon në një
Shtet tjetër Anëtar, Shteti Anëtar i autoritetit mbikëqyrës pritës merr përgjegjësi për veprimet e tyre,
duke përfshirë përgjegjësinë, për çdo dëm të shkaktuar prej tyre gjatë operacioneve të tyre, në pajtim
me të drejtën e Shtetit Anëtar në territorin e të cilit ata operojnë.
5. Shteti Anëtar në territorin e të cilit është shkaktuar dëmi e zhdëmton një dëm të tillë sipas
kushteve të zbatueshme për dëmin e shkaktuar nga personeli vet. Shteti Anëtar i autoritetit
mbikëqyrës autorizues personeli i të cilit ka shkaktuar dëm ndaj një personi në territorin e një Shteti
tjetër Anëtar rimburson Shtetin tjetër Anëtar plotësisht për çdo shumë që ai ka paguar për personat që
kanë të drejtën në emër të tyre.
6. Pa cenuar ushtrimin e të drejtave kundrejt palëve të treta dhe me përjashtim të paragrafit 5,
secili Shtet Anëtar, në rastin e parashikuar në paragrafin 1, nuk kërkon rimbursim nga një Shtet tjetër
Anëtar në lidhje me dëmin e referuar në paragrafin 4.
7. Nëse synohet të kryhet një operacion i përbashkët dhe brenda një muaji, një autoritet
mbikëqyrës nuk e përmbush detyrimin e parashikuar në fjalinë e dytë të paragrafit 2 të këtij Neni,
autoritetet e tjera mbikëqyrëse mund të miratojnë një masë provizore në territorin e Shtetit Anëtar të
tij në pajtim me Nenin 55. Në këtë rast, prezumohet të përmbushet nevoja urgjente për të vepruar
sipas Nenit 66(1) dhe kërkohet një opinion ose një vendim detyrues urgjent nga Bordi në pajtim me
Nenin 66(2).
Seksioni 2
Njëtrajtshmëria
Neni 63
Mekanizmi i njëtrajtshmërisë
Me qëllim kontributin në zbatimin e njëtrajtshëm të kësaj Rregulloreje në të gjithë Bashkimin,
autoritetet mbikëqyrëse bashkëpunojnë me njëri-tjetrin dhe sipas rastit, me Komisionin, nëpërmjet
mekanizmit të njëtrajtshmërisë sipas parashikimit në këtë Seksion.
Neni 64
Opinioni i Bordit
1. Bordi nxjerr një mendim nëse një autoritet mbikëqyrës kompetent synon të miratojë ndonjë
nga masat e mëposhtme. Për këtë qëllim, autoriteti mbikëqyrës kompetent i komunikon Bordit
projekt vendimin, kur ai:
(a) synon të miratojë një listë të operacioneve të përpunimit duke iu nënshtruar kërkesave të një
vlerësimi të ndikimit mbi mbrojtjen e të dhënave në pajtim me Nenin 35(4);
(b) ka të bëjë me një çështje në pajtim me Nenin 40(7), nëse një projekt kod i sjelljes ose një
ndryshim apo zgjerim i një kodi të sjelljes është në pajtim me këtë Rregullore;
(c) synon të miratojë kritere për akreditimin e një organi në pajtim me Nenin 41(3) ose një organ
certifikimi në pajtim me Nenin 43(3);
(d) synon të përcaktojë klauzola standarde për mbrojtjen e të dhënave të referuara në pikën (d) të
Nenit 46(2) dhe në Nenin 28(8);
(e) synon të autorizojë klauzola kontraktuale të referuara në pikën (a) të nenit 46(3); ose
(f) synon të aprovojë rregulla të brendshme detyruese brenda kuptimit të Nenit 47.
2. Çdo organ mbikëqyrës, Kryetar Bordi ose Komision mund të kërkojë që një çështje me
zbatim të përgjithshëm ose që ka efekte në më shumë se një Shtet Anëtar të shqyrtohet nga Bordi me
qëllim përftimin e një mendimi, veçanërisht nëse një autoritet mbikëqyrës kompetent nuk respekton
detyrimet për ndihmë të ndërsjellë në pajtim me Nenin 61 ose për operacione të përbashkëta në pajtim
me Nenin 62.
3. Në rastet e referuara në paragrafët 1 dhe 2, Bordi nxjerr një vendim në lidhje me çështjen e
paraqitur atij, me kusht që të mos ketë nxjerr ndonjë opinion për të njëjtën çështje. Ky opinion
miratohet brenda tetë javëve me shumicë të thjeshtë të anëtarëve të Bordit. Ky afat mund të zgjatet
me tetë javë të tjera duke marrë parasysh kompleksitetin e lëndës. Në lidhje me projekt vendimin e
përmendur në paragrafin 1 të qarkulluar tek anëtarët e Bordit në pajtim me paragrafin 5, një anëtar që
nuk ka kundërshtuar brenda një afati të arsyeshëm të treguar nga Kryetari, konsiderohet të jetë dakord
me projekt vendimin.
4. Autoritetet mbikëqyrëse dhe Komisioni, pa vonesë të panevojshme, i komunikon Bordit me
mjete elektronike, duke përdorur një format të standardizuar çdo informacion të vlefshëm, duke
përfshirë sipas rastit një përmbledhje të fakteve, projekt vendimin, shkaqet të cilat e bëjnë ardhjen në
fuqi të këtyre masave të nevojshme, dhe mendimet e autoriteteve të tjera mbikëqyrëse të interesuara.
5. Kryetari i Bordit, pa vonesë të panevojshme, njofton me mjete elektronike:
(a) anëtarët e Bordit dhe Komisionin për çdo informacion të rëndësishëm që i është komunikuar
duke përdorur një format të standardizuar. Sekretariati i Bordit, sipas rastit, paraqet përkthime të
informacionit përkatës; dhe
(b) autoritetin mbikëqyrës të referuar, sipas rastit, në paragrafët 1 dhe 2, dhe Komisionin për
opinionin dhe e bën atë publik.
6. Autoriteti kompetent mbikëqyrës nuk e miraton projekt vendimin e tij të referuar në
paragrafin 1 brenda afatit të përmendur në paragrafin 3.
7. Autoriteti mbikëqyrës i referuar në paragrafin 1 merr parasysh rregullisht opinionin e Bordit
dhe, brenda dy javësh pas marrjes së opinionit, ia komunikon Kryetarit të Bordit me mjete elektronike
nëse ai do të mbajë apo ndryshojë projekt vendimin dhe sipas rastit, ndryshon projekt vendimin, duke
përdorur një format të standardizuar.
8. Nëse autoriteti mbikëqyrës i interesuar njofton Kryetarin e Bordit brenda afatit të referuar në
paragrafin 7 të këtij Neni që ai nuk synon të ndjekë opinionin e Bordit, pjesërisht ose plotësisht, duke
dhënë shkaqet përkatëse, zbatohet neni 65(1)
Neni 65
Zgjidhja e mosmarrëveshjeve nga Bordi
1. Me qëllim që të garantohet zbatimi i saktë dhe i njëtrajtshëm i kësaj Rregulloreje në raste të
veçanta, Bordi miraton një vendim detyrues në rastet e mëposhtme:
(a) nëse në një çështje të referuar në Nenin 60(4), një autoriteti mbikëqyrës i interesuar ka ngritur
një kundërshtim të rëndësishëm dhe të arsyeshëm për një projekt vendim të autoritetit epror ose
autoriteti epror ka refuzuar një kundërshtim të tillë si jo i rëndësishëm ose i paarsyetuar. Vendimi
detyrues trajton të gjitha çështjet që përfshihen në kundërshtimin e rëndësishëm dhe të arsyetuar,
veçanërisht nëse ka një shkelje të kësaj Rregulloreje.
(b) nëse ka mendime kontradiktore se cili nga autoritetet mbikëqyrëse është kompetent për
strukturën kryesore;
(c) nëse një autoritet mbikëqyrës kompetent nuk kërkon opinionin e Bordit në rastet e përmendura
në Nenin 64(1), ose nuk respekton opinionin e Bordit të nxjerrë sipas Nenit 64. Në këtë rast, çdo
autoritet mbikëqyrës i interesuar ose Komisioni mund t’ia komunikojë çështjen Bordit.
2. Vendimi i referuar në paragrafin 1 miratohet brenda një muaji nga referimi i çështjes me një
shumicë prej dy të tretash të anëtarëve të bordit. Ky afat mund të zgjatet me një muaj tjetër për shkak
të kompleksitetit të çështjes. Vendimi i referuar në paragrafin 1 është i arsyetuar dhe i drejtohet
autoritetit mbikëqyrës epror dhe të gjithë autoriteteve mbikëqyrës të interesuar dhe është detyrues për
ta.
3. Nëse Bordi nuk është në gjendje të miratojë një vendim brenda afateve të përmendura në
paragrafin 2, ai e miraton vendimin brenda dy javëve pas skadimit të muajit të dytë të referuar në
paragrafin 2 me shumicë të thjeshtë të anëtarëve të Bordit. Nëse anëtarët e bordit ndahen, vendimi
miratohet me votën e Kryetarit.
4. Autoritetet mbikëqyrës të interesuar miratojnë një vendim për çështjen e paraqitur Bordit
sipas paragrafit 1 gjatë afateve të referuara në paragrafin 2 dhe 3.
5. Kryetari i Bordit ua njofton vendimin e referuar në paragrafin 1, pa vonesë të panevojshme,
autoriteteve mbikëqyrëse të interesuar. Ai njofton për këtë Komisionin. Vendimi publikohet në faqen
e internetit të Bordit pa vonesë pasi autoriteti mbikëqyrës të ketë njoftuar vendimin e referuar në
paragrafin 6.
6. Autoriteti mbikëqyrës epror, ose sipas rastit, autoriteti mbikëqyrës tek i cili është paraqitur
ankesa e miraton vendimin e tij përfundimtar mbi bazën e vendimit të referuar në paragrafin 1 të këtij
Neni, pa vonesë të panevojshme dhe jo më vonë se një muaj pasi Bordi të ketë njoftuar vendimin e tij.
Autoriteti mbikëqyrës kryesor, ose sipas rastit, autoriteti mbikëqyrës ku është paraqitur ankimi,
njofton Bordin për datën kur vendimi përfundimtar i njoftohet përkatësisht kontrolluesit ose
përpunuesit dhe subjektit të të dhënave. Vendimi përfundimtar i autoriteteve mbikëqyrëse të
interesuar miratohet sipas temave të Nenit 60(7), (8) dhe (9). Vendimi përfundimtar i referohet
vendimit të përmendur në paragrafin 1 të këtij Neni dhe specifikon që vendimi i referuar në atë
paragraf të publikohet në faqen e internetit të Bordit në pajtim me paragrafin 5 të këtij Neni. Vendimi
përfundimtar mund të bashkëngjisë vendimin e përmendur në paragrafin 1 të këtij Neni.
Neni 66
Procedura e urgjencës
1. Në rrethana të veçanta, nëse një autoritet mbikëqyrës i interesuar është i mendimit që ka një
nevojë urgjente për të vepruar me qëllim që të mbrohen të drejtat dhe liritë e subjekteve të të dhënave,
ai nëpërmjet shmangies nga mekanizmi i njëtrajtshmërisë i referuar në Nenet 63, 64 dhe 65, ose
procedura e referuar në Nenin 60, mund të miratojë menjëherë masa provizore të destinuara për të
prodhuar efekte ligjore në territorin e tij me një periudhë të caktuar vlefshmërie që nuk i kalon tre
muaj. Autoriteti mbikëqyrës, pa vonesë, ia komunikon ato masa dhe arsye për miratim autoriteteve
mbikëqyrëse të tjerë të interesuar, Bordit dhe Komisionit.
2. Nëse një autoritet mbikëqyrës ka marrë një masë në pajtim me paragrafin 1 dhe është i
mendimit që masat përfundimtare duhet të miratohen me urgjencë, ai mund të kërkojë një mendim
urgjent ose vendim detyrues urgjent nga Bordi, duke dhënë arsyet për kërkimin e një mendimi ose
vendimi të tillë.
3. Çdo autoritet mbikëqyrës mund të kërkojë një opinion urgjent ose një vendim detyrues
urgjent, sipas rastit, nga Bordi nëse një autoritet mbikëqyrës kompetent nuk ka marrë një masë të
duhur në një situatë ku ka një nevojë urgjente për të vepruar, me qëllim që të mbrohen liritë dhe të
drejtat e subjekteve të të dhënave, duke dhënë shkaqet për kërkimin e këtij opinioni ose vendimi,
duke përfshirë për nevojën urgjente për të vepruar.
4. Nëpërmjet shmangies nga neni 64(3) dhe Neni 65(2), një opinion urgjent ose një vendim
detyrues urgjent i referuar në paragrafët 2 dhe 3 të këtij Neni miratohet brenda dy javëve me shumicë
të thjeshtë të anëtarëve të Bordit.
Neni 67
Shkëmbimi i informacionit
Komisioni mund të miratojë akte zbatuese me objekt të përgjithshëm me qëllim që të specifikojë
masat për shkëmbimin e informacionit me mjete elektronike ndërmjet autoriteteve mbikëqyrëse dhe
ndërmjet autoriteteve mbikëqyrëse dhe Bordit, veçanërisht formatin e standardizuar referuar në Nenin
64. Këto akte zbatuese miratohen në pajtim me procedurën shqyrtimit të referuar në Nenin 93(2).
Seksioni 3
Bordi Evropian i Mbrojtjes së të Dhënave
Neni 68
Bordi Evropian i Mbrojtjes së të Dhënave
1. Bordi Evropian i Mbrojtjes së të Dhënave (Bordi) themelohet si një organ i Bashkimit dhe ka
personalitet juridik.
2. Bordi përfaqësohet nga Kryetari.
3. Bordi përbëhet nga kryetari i një autoriteti mbikëqyrës i çdo Shteti Anëtar dhe Mbikëqyrësi
Evropian i Mbrojtjes së të Dhënave, ose përfaqësuesit e tyre përkatës.
4. Nëse në një Shtet Anëtar është përgjegjës më shumë se një autoriteti mbikëqyrës për
monitorimin e zbatimit të dispozitave në pajtim me këtë Rregullore, caktohet një përfaqësues i
përbashkët në pajtim me të drejtën e atij Shteti Anëtar.
5. Komisioni ka të drejtën të marrë pjesë në aktivitetet dhe mbledhjet e Bordit pa të drejtë vote.
Komisioni mund të caktojë një përfaqësues. Kryetari i Bordit i komunikon Komisionit aktivitetet e
Bordit.
6. Në rastet e referuara në Nenin 65, Mbikëqyrësi Evropian i Mbrojtjes së të Dhënave ka të
drejtat e votës vetëm për vendimet që kanë të bëjnë me parimet dhe rregullat e zbatueshëm në
institucionet, organet, zyrat dhe agjencitë e Bashkimit që përputhen në lëndë me ato të kësaj
Rregulloreje.
Neni 69
Pavarësia
1. Bordi në ushtrimin e detyrave ose ushtrimi i kompetencave në pajtim me Nenet 70 dhe 71
vepron në mënyrë të pavarur.
2. Pa prekur kërkesat nga Komisioni të referuara në pikën (b) të Nenit 70(1) dhe në Nenin
70(2), Bordi, në përmbushjen e detyrave dhe ushtrimi e kompetencave të veta, nuk kërkon dhe nuk
merr udhëzime nga askush.
Neni 70
Detyrat e Bordit
1. Bordi garanton zbatimin e njëtrajtshëm të kësaj Rregulloreje. Për këtë qëllim, Bordi,
iniciativën e vet ose sipas rastit, me kërkesë të Komisionit, veçanërisht:
(a) monitoron dhe garanton zbatimin e saktë të kësaj Rregulloreje në rastet e parashikuara në
Nenet 64 dhe 65 pa cenuar detyrat e autoriteteve mbikëqyrëse të brendshme;
(b) këshillon Komisionin për çdo çështje në lidhje me mbrojtjen e të dhënave personale në
Bashkim, duke përfshirë çdo ndryshim të propozuar të kësaj Rregulloreje;
(c) këshillon Komisionin për formatin dhe procedurat për shkëmbimin e informacionit ndërmjet
kontrolluesve, përpunuesve dhe autoriteteve mbikëqyrëse për rregullat e brendshme detyruese;
(d) nxjerr udhëzime, rekomandime dhe praktika më të mira për procedurat për fshirjen e lidhjeve,
kopjeve ose përsëritjeve të të dhënave personale nga shërbimet e komunikimit të ofruara publikisht
sipas referimit në Nenin 1(2);
(e) shqyrton, me iniciativën e vet, me kërkesë të një prej anëtarëve të tij ose me kërkesë të
Komisionit, çdo çështje që mbulojnë zbatimin e kësaj Rregulloreje dhe nxjerr udhëzime,
rekomandime dhe praktikat më të mira me qëllim që të inkurajohet aplikimi i njëtrajtshëm i kësaj
Rregulloreje;
(f) nxjerr udhëzime, rekomandime dhe praktikat me të mira në pajtim me pikën (e) të këtij
paragrafi për specifikimin më tej të kritereve dhe kushteve për vendimet e bazuara në profilizimin në
pajtim me Nenin 22(2);
(g) nxjerr udhëzime, rekomandime dhe praktikat me të mira në pajtim me pikën (e) të këtij
paragrafi për konstatimin e shkeljeve të të dhënave personale dhe përcaktimin e vonesës së
panevojshme të përmendur në Nenin 33(1) de (2) dhe për rrethanat e veçanta në të cilat një
kontrolluesi ose përpunuesi i kërkohet të njoftojë shkeljen e të dhënave personale;
(h) nxjerr udhëzime, rekomandime dhe praktikat me të mira në pajtim me pikën (e) të këtij
paragrafi në lidhje me rrethanat në të cilat një shkelje e të dhënave personale mund të rezultojë në një
risk të lartë për të drejtat dhe liritë e personave fizikë të referuar në nenin 34(1);
(i) nxjerr udhëzime, rekomandime dhe praktikat me të mira në pajtim me pikën (e) të këtij
paragrafi për qëllimin e specifikimit të mëtejshëm të kritereve dhe kërkesave për transferimet e të
dhënave personale bazuar në rregullat e brendshme detyruese të cilat respektohen nga kontrolluesit
dhe rregullat e brendshme detyruese që respektohen nga përpunuesit dhe mbi kërkesat e tjera të
nevojshme për të garantuar mbrojtjen e të dhënave personale të subjekteve të të dhënave të interesuar
të referuar ën Nenin 47;
(j) nxjerr udhëzime, rekomandime dhe praktikat me të mira në pajtim me pikën (e) të këtij
paragrafi për qëllimin e specifikimit të kritereve dhe kërkesave për transferimet e të dhënave
personale në bazë të nenit 49(1);
(k) përpilon udhëzime për autoritetet mbikëqyrëse në lidhje me zbatimin e masave të referuara në
nenin 58(1),
(2) dhe (3) dhe caktimin e gjobave administrative në pajtim me nenin 83;
(l) rishikon zbatimin praktik të udhëzimeve, rekomandimeve dhe praktikave më të mira referuara
në pikat (e) dhe (f);
(m) nxjerr udhëzime, rekomandime dhe praktikat më të mira në pajtim me pikën (e) të këtij
paragrafi për vendosjen e procedurave të zakonshme të raportimit nga personat fizikë të shkeljeve të
kësaj Rregulloreje në pajtim me Nenin 54(2);
(n) (n) inkurajon përpilimin e kodeve të sjelljes dhe ngritjen e mekanizmave të certifikimit për
mbrojtjen e të dhënave vulat dhe shenjat për mbrojtjen e të dhënave në pajtim me Nenet 40 dhe 42;
(o) kryhen akreditimin e organeve të certifikimit dhe rishikimin e tij periodik në pajtim me Nenin
43 dhe mban një regjistër publik për organet e akredituara në pajtim me nenin 43(6) dhe të
kontrolluesve dhe përpunuesve të akredituar të vendosur në vende të tretë në pajtim me Nenin 42(7);
(p) Specifikon kërkesat e referuara në Nenin 43(3) me qëllim akreditimin e organeve të
certifikimit sipas Nenit 42;
(q) i paraqet Komisionit një opinion për kërkesat e certifikimit të referuar në Nenin 43(8);
(r) i paraqet Komisionit një opinion mbi ikonat e referuara në Nenin 12(7);
(s) i paraqet Komisionit një opinion për vlerësimin e përshtatshmërisë së nivelit të mbrojtjes në
një vend të tretë ose organizatë ndërkombëtare, duke përfshirë për vlerësimin nëse një vend i tretë,
territor ose një ose më shumë sektorë të specifikuar brenda atij vendi të tretë, ose organizatë
ndërkombëtare nuk vazhdon të garantojë një nivel të përshtatshëm të mbrojtjes. Për këtë qëllim,
Komisioni i paraqet Bordit të gjithë dokumentacionin e nevojshëm, duke përfshirë korrespondencën
me qeverinë e vendit të tretë, në lidhje me atë vend të tretë, territorin ose sektorin e specifikuar ose
me organizatën ndërkombëtare;
(t) nxjerr opinione për projekt vendimet e autoriteteve mbikëqyrëse në pajtim me mekanizmin e
njëtrajtshmërisë të referuar në Nenin 64(1), për çështjet e paraqitura në pajtim me nenin 64(2) dhe për
të lëshuar vendime detyrues në pajtim me Nenin 65, duke përfshirë çështjet e referuara në Nenin 66;
(u) nxit bashkëpunimin dhe shkëmbimin e efektshëm dypalësh dhe shumëpalësh të informacionit
dhe praktikat më të mira ndërmjet autoriteteve mbikëqyrëse;
(v) nxit programet e përbashkëta të trajnimit dhe lehtëson shkëmbimet e personelit ndërmjet
autoriteteve mbikëqyrëse dhe sipas rastit, me autoritetet mbikëqyrëse të vendeve të tretë ose me
organizatat ndërkombëtare;
(w) nxit shkëmbimin e njohurive dhe dokumentacionit për legjislacionin e mbrojtjes së të dhënave
dhe praktikës me autoritetet mbikëqyrëse për mbrojtjen e të dhënave në të gjithë botën;
(x) nxjerr opinione mbi kodet e sjelljes të hartuara në nivelin e Bashkimit në pajtim me Nenin
40(9); dhe
(y) mban një regjistër elektronik me akses publik të vendimeve të marra nga autoritetet
mbikëqyrëse dhe gjykatat për çështjet e trajtuara në mekanizmin e njëtrajtshmërisë.
2. Nëse Komisioni kërkon këshillim nga Bordi, ai mund të tregojë një afat, duke marrë parasysh
urgjencën e çështjes.
3. Bordi ia paraqet mendimet, udhëzimet, rekomandimet dhe praktikat më të mira Komisionit
dhe komitetit të cilat përmenden në Nenin 93 dhe i bën ato publike.
4. Bordi, sipas rastit, konsultohet me palët e interesuara dhe u jep atyre mundësinë për të
komentuar brenda një afati të arsyeshëm. Bordi, pa cenuar nenin 76, bën publike rezultatet e
procedurës së konsultimit.
Neni 71
Raportet
1. Bordi përpilon një raport vjetor në lidhje me mbrojtjen e personave fizikë në lidhje me
përpunimin në Bashkim dhe sipas rastit, në vendet e treta dhe organizatat ndërkombëtare. Raporti
bëhet publik dhe i transmetohet Parlamentit Evropian, Këshillit dhe Komisionit.
2. Raporti vjetor përfshin një rishikim të zbatimit praktik të udhëzimeve, rekomandimeve dhe
praktikave më të mira të referuara në pikën (l) të Nenit 70(l), si dhe të vendimeve detyruese të
referuara në Nenin 65.
Neni 72
Procedura
1. Bordi i merr vendimet me shumicën e thjeshtë të anëtarëve të tij, përveç kur parashikohet
ndryshe në këtë Rregullore.
2. Bordi i miraton rregullat e veta procedurale me shumicën prej dy të tretat e anëtarëve të tij
dhe organizon masat e veta operacionale
Neni 73
Kryetari
1. Bordi zgjedh një kryetar dhe dy zëvendëskryetar nga anëtarët e vet me shumicë të thjeshtë.
2. Mandati i Kryetarit dhe i zëvendëskryetarëve është pesë vjet dhe është i rinovueshëm një
herë.
Neni 74
Detyrat e Kryetarit
1. Kryetari ka detyrat e mëposhtme:
(a) thirrjen e mbledhjeve të Bordit dhe përgatitja e rendit të ditës;
(b) njoftimin e vendimeve të miratuara nga Bordi në pajtim me Nenin 65 të autoritetit mbikëqyrës
epror dhe autoriteteve mbikëqyrëse të interesuar;
(c) garantimin e përmbushjes në kohë të detyrave të Bordit, veçanërisht në lidhje me mekanizmin
e njëtrajtshmërisë së referuar në nenin 63.
2. Bordi parashikon caktimin e detyrave ndërmjet Kryetarit dhe zëvendëskryetarëve në rregullat
e veta procedurale.
Neni 75
Sekretariati
1. Bordi ka një sekretariat, i cili ofrohet nga Mbikëqyrësi Evropian i Mbrojtjes së të Dhënave.
2. Sekretariati i përmbush detyrat e tij ekskluzivisht nën udhëzimet e Kryetarit të Bordit.
3. Personeli i Mbikëqyrësit Evropian të Mbrojtjes së të Dhënave i angazhuar në kryerjen e
detyrave të dhëna Bordit nga kjo Rregullore i nënshtrohet linjave të veçanta të raportimit nga
personeli i përfshirë në kryerjen e detyrave të dhëna Mbikëqyrësit Evropian të Mbrojtjes së të
Dhënave.
4. Sipas rastit, Bordi dhe Mbikëqyrësi Evropian i Mbrojtjes së të Dhënave harton dhe publikon
një Memorandum Mirëkuptimi që zbaton këtë Nen, duke përcaktuar termat e bashkëpunimit të tyre
dhe që zbatohet për personelin e Mbikëqyrësit Evropian për Mbrojtjen e të Dhënave të përfshirë në
përmbushjen e detyrave të caktuara Bordit nga kjo Rregullore.
5. Sekretariati i jep Bordit mbështetje analitike, administrative dhe logjistike.
Sekretariati është përgjegjës veçanërisht për:
(a) aktivitetin e përditshëm të Bordit;
(b) komunikimin ndërmjet anëtarëve të bordit, Kryetarit dhe Komisionit;
(c) komunikimi me institucionet dhe publikun;
(d) përdorimin e mjeteve elektronike për komunikimin e brendshëm dhe të jashtëm;
(e) përkthimin e informacionit të rëndësishëm;
(f) përgatitjen dhe ndjekjen e mbledhjeve të Bordit;
(g) përgatitjen , përpilimin dhe publikimin e opinioneve, vendimeve dhe zgjidhjen e
mosmarrëveshjeve ndërmjet autoriteteve mbikëqyrëse dhe teksteve të tjera të miratuara nga Bordi.
Neni 76
Konfidencialiteti
1. Diskutimet në Bord janë konfidenciale nëse Bordi e konsideron të nevojshme, sipas
parashikimit në rregullat e veta procedurale.
2. Aksesi tek dokumentet e paraqitura anëtarëve të Bordit, ekspertëve dhe përfaqësuesve të
palëve të treta rregullohen nga Rregullorja (KE) nr. 1049/2001 të Parlamentit Evropian dhe Këshillit
(1).
KAPITULLI VIII
Mjetet e ankimit, përgjegjësia dhe penalitetet
Neni 77
E drejta për të paraqitur ankim tek autoriteti mbikëqyrës
1. Pa cenuar mjetet e tjera administrative ose gjyqësore të mbrojtjes, çdo subjekt të dhënash ka
të drejtën të bëjë një ankim tek autoriteti mbikëqyrës, veçanërisht në Shtetin Anëtar ose në
vendbanimin e tij ose të saj të zakonshëm, vendin e punës ose vendin e shkeljes së pretenduar nëse
subjekti i të dhënave është i mendimit që përpunimi i të dhënave personale në lidhje me të e shkel
këtë Rregullore.
2. Autoriteti mbikëqyrës ku është paraqitur ankimi njofton ankimuesin mbi progresin dhe
rezultatin e ankimit duke përfshirë mundësinë e një mjeti ankimi gjyqësor në pajtim me Nenin 78.
Neni 78
E drejta për një mjet gjyqësor të efektshëm ndaj një autoriteti mbikëqyrës
1. Pa cenuar mjetet e tjera administrative ose jo-gjyqësore të mbrojtjes, secili person fizik ose
juridik ka të drejtën e një mjeti gjyqësor të efektshëm ndaj një vendimi ligjërisht detyrues të
autoritetit mbikëqyrës në lidhje me të.
2. Pa cenuar mjetet e tjera administrative ose jo-gjyqësore të mbrojtjes, çdo subjekt i të dhënave
ka të drejtën e një mjeti gjyqësor të efektshëm nëse autoriteti mbikëqyrës që është kompetent në
pajtim me Nenet 55 dhe 56 nuk e trajton një ankim ose nuk e njofton subjektin e të dhënave brenda
tre muajve mbi përparimin ose rezultatin e ankimit të paraqitur në pajtim me Nenin 77.
3. Gjykimi ndaj një autoriteti mbikëqyrës fillon para gjykatave të Shtetit Anëtar ku është
vendosur autoriteti mbikëqyrës.
4. Nëse gjykimi fillon ndaj një vendim të autoritetit mbikëqyrës, që është paraprirë nga një
opinion ose vendim i Bordit në mekanizmin e njëtrajtshmërisë, autoriteti mbikëqyrës ia paraqet këtë
opinion ose vendim gjykatës.
Neni 79
E drejta për një mjet gjyqësor të efektshëm ndaj një kontrolluesi ose përpunuesi
1. Pa cenuar asnjë mjet të disponueshëm administrativ ose jo-gjyqësor mbrojtjeje, duke
përfshirë të drejtën për të paraqitur një ankim tek autoriteti mbikëqyrës në pajtim me Nenin 77, çdo
subjekt të dhënash ka të drejtën për një mjet të efektshëm gjyqësor nëse ai ose ajo është i mendimit se
të drejtat e tij ose t saj sipas kësaj Rregulloreje janë shkelur si rezultat i përpunimit të të dhënave të tij
ose të saj personale në mos-përputhje me këtë Rregullore.
2. Gjykimi ndaj një kontrolluesi ose përpunuesi fillon para gjykatave të Shtetit Anëtar ku
kontrolluesi ose përpunuesi ka një strukturë. Si alternativë, një gjykim i tillë mund të fillohet para
gjykatave të Shtetit Anëtar ku subjekti i të dhënave ka vendbanimin e tij ose të saj të zakonshëm,
përveç kur kontrolluesi ose përpunuesi është një autoritet publik i një Shteti Anëtar që vepron në
ushtrim të kompetencave të tij publike.
Neni 80
Përfaqësimi i subjektit të të dhënave
1. Subjekti i të dhënave ka të drejtën të autorizojë një organ, organizatë ose shoqatë jo-
fitimprurëse që është krijuar rregullisht në pajtim me të drejtën e një Shteti Anëtar, që ka objektiva
ligjore që janë në interesin publik dhe është aktive në fushën e mbrojtjes së të drejtave dhe lirive të
subjekteve të të dhënave në lidhje me mbrojtjen e të dhënave të tyre personale të paraqesë një ankim
në emër të tij ose të saj, të ushtrojë të drejtat e referuara në Nenet 77, 78 dhe 79 në emër të tij ose të
saj dhe të ushtrojë të drejtën për të marrë kompensimin e referuar në Nenin 82 në emër të tij ose të saj
nëse parashikuar nga e drejta e Shtetit Anëtar.
2. Shtetet Anëtare mund të parashikojnë që çdo organ, organizatë ose shoqatë e referuar në
paragrafin 1 të këtij Neni, pavarësisht nga autorizimi i subjektit të të dhënave të ketë të drejtën të
paraqesë, në atë Shtet Anëtar, një ankesë tek organi mbikëqyrës që është kompetent në pajtim me
Nenin 77 dhe të ushtrojë të drejtat e referuara në Nenet 78 dhe 79 nëse është e mendimit që të drejtat
e një subjekti të dhënash sipas kësaj Rregulloreje janë shkelur si rezultat i përpunimit.
Neni 81
Pezullimi i gjykimit
1. Nëse një gjykatë kompetente e një Shteti Anëtar ka informacion për një gjykim në lidhje me
të njëjtën çështje në lidhje me përpunimin nga i njëjti kontrollues ose përpunues, që ka filluar në
gjykatë në një Shtet tjetër Anëtar, ajo kontakton atë gjykatë në Shtetin tjetër Anëtar për të konfirmuar
ekzistencën e një gjykimi të tillë.
2. Nëse ka filluar gjykimi në lidhje me të njëjtën çështje për sa i takon përpunimit të të njëjtin
kontrollues ose përpunues në një gjykatë në një Shtet tjetër Anëtar, çdo gjykata kompetente e
ndryshme nga gjykata e investuar fillimisht mund të pezullojë gjykimin.
3. Nëse ky gjykim ka filluar në shkallë të parë, çdo gjykata e ndryshme nga gjykata e investuar
fillimisht, me kërkesë të një prej palëve mund të deklarojë mungesën e juridiksionit nëse gjykata e
investuar fillimisht ja juridiksion për çështjet në fjalë dhe e drejta e saj e lejon konsolidimin e saj.
Neni 82
E drejta për kompensim dhe përgjegjësia
1. Çdo person i cili ka pësuar dëm material ose jo-material si rezultat i një shkeljeje të kësaj
Rregulloreje ka të drejtë të marrë kompensim nga kontrolluesi ose përpunuesi për dëmin e pësuar.
2. Çdo kontrollues i përfshirë në përpunim është përgjegjës për dëmin e shkaktuar nga
përpunimi që shkel këtë Rregullore. Një përpunues është përgjegjës për dëmin e shkaktuar nga
përpunimi vetëm nëse ai nuk ka përmbushur detyrimet e kësaj Rregulloreje veçanërisht drejtuar
përpunuesve ose nëse ka vepruar tej ose në kundërshtim me udhëzimet e ligjshme të kontrolluesit.
3. Një kontrollues ose përpunues përjashtohet nga përgjegjësia sipas paragrafit 2 nëse ai provon
që ai nuk është në asnjë mënyrë përgjegjës për dëmin.
4. Nëse është përfshirë më shumë se një kontrollues ose përpunues, ose një kontrollues dhe një
përpunues në të njëjtin përpunim dhe nëse ata sipas paragrafëve 2 dhe 3, janë përgjegjës për çdo dëm
të shkaktuar nga përpunimi, secili kontrollues ose përpunues mbahet përgjegjës për të gjithë dëmin
me qëllim që të garantohet kompensim i efektshëm i subjektit të të dhënave.
5. Nëse një kontrollues ose përpunues, në pajtim me paragrafin 4, ka paguar kompensim të plotë
për dëmin e pësuar, ky kontrollues ose përpunues ka të drejtën të pretendojë nga kontrolluesit ose
përpunuesit e tjerë të përfshirë në të njëjtin përpunim atë pjesë të kompensimit që përputhet me pjesën
e tyre të përgjegjësisë për dëmin, në pajtim me kushtet e parashikuara në paragrafin 2.
6. Procedimi gjyqësor për ushtrimin e së drejtës për të përftuar kompensimin fillohet para
gjykatave kompetente sipas ligjit të Shtetit Anëtar të referuar në Nenin 79(2).
Neni 83
Kushte të përgjithshme për caktimin e gjobave administrative
1. Çdo autoritet mbikëqyrës garanton ë caktimi i gjobave administrative në pajtim me këtë Nen
në lidhje me shkeljet e kësaj Rregulloreje të referuar në paragrafët 4, 5 dhe 6 në çdo rast konkret është
i efektshëm, proporcional dhe pengues.
2. Gjobat administrative, në varësi të rrethanave të çdo rasti individuale, vendosen si shtesë ose
në vend të masave të referuara në pikat (a) deri (h) dhe (j) të nenit 58(2). Në momentin e
vendimmarrjes nëse do të vendoset gjobë administrative dhe vendimmarrjes për shumën e gjobës
administrative në çdo rast individual vëmendje e duhur i kushtohet sa më poshtë:
(a) natyrës, rëndësisë dhe kohëzgjatjes së shkeljes duke marrë parasysh natyrën, objektin ose
qëllimin e përpunimit përkatës si dhe numrin e subjekteve të të dhënave të prekur dhe nivelin dëmit të
pësuar prej tyre;
(b) karakteri të qëllimshëm dhe neglizhent të shkeljes;
(c) çdo masë të marrë nga kontrolluesi ose përpunuesi për të lehtësuar dëmin e pësuar nga
subjektet e të dhënave;
(d) Shkallës së përgjegjësisë së kontrolluesit ose përpunuesit duke marrë parasysh masat teknike
dhe organizative të zbatuara prej tyre në pajtim me Nenet 25 dhe 32;
(e) çdo shkelje të mëparshme përkatëse nga kontrolluesi ose përpunuesi;
(f) shkallës së bashkëpunimit me autoritetin mbikëqyrës me qëllim që të korrigjohet shkelja dhe
zbutur efektet negative të mundshme të shkeljes;
(g) kategorive të të dhënave personale të ndikuara nga shkelja;
(h) mënyrës në të cilën shkelja erdhi në dijeni të autoritetit mbikëqyrës, veçanërisht, nëse dhe në
cilën masë kontrolluesi ose përpunuesi njoftuan shkeljen;
(i) nëse masat e referuara në Nenin 58(2) janë urdhëruar më parë ndaj kontrolluesit ose
përpunuesit përkatës në lidhje me të njëjtën çështje, respektimit të këtyre masave;
(j) respektimi i kodeve të aprovuara të sjelljes në pajtim me Nenin 40, mekanizmat e aprovuara të
certifikimit në pajtim me Nenin 42; dhe
(k) çdo faktori tjetër rëndues ose lehtësues për rrethanat e çështjes, si përfitimet financiare të
përftuara ose humbjeve të mënjanuara, drejtpërdrejtë ose jo nga shkelja.
3. Nëse një kontrollues ose përpunues, në mënyrë të qëllimshme ose neglizhencë, për të njëjtat
operacione ose të lidhura me to, shkel disa dispozita të kësaj Rregulloreje, shuma totale e gjobës
administrative nuk kalon shumën e specifikuar për shkeljen më të rëndë.
4. Shkeljet e dispozitave të mëposhtme, në pajtim me paragrafin 2, u nënshtrohen gjobave
administrative deri në 10 000 000 Euro ose në rastin e një ndërmarrjeje deri në 2% të xhiros të
përgjithshme vjetore botërore të vitit financiar pararendës, cilado ë të jetë më i lartë:
(a) detyrimet e kontrolluesit dhe përpunuesit në pajim me Nenet 8, 11, 25 deri 39 dhe 42 dhe 43;
(b) detyrimet e organit të certifikimit në pajtim me Nenet 42 dhe 43;
(c) detyrimet e organit të monitorimit në pajtim me Nenin 41(4).
5. Shkeljet e dispozitave të mëposhtme, në pajtim me paragrafin 2, u nënshtrohen gjobave
administrative deri në 20 000 000 Euro ose në rastin e një ndërmarrjeje deri në 4% të xhiros të
përgjithshme vjetore botërore të vitit financiar pararendës, cilado ë të jetë më i lartë:
(a) parimet bazë për përpunimin, duke përfshirë kushtet për pëlqimin, në pajtim me Nenet 5, 6 7
dhe 9;
(b) të drejtat e subjekteve të të dhënave në pajtim me Nenet 12 dhe 22;
(c) transferimet e të dhënave personale tek një marrë në një vend të tretë ose organizatë
ndërkombëtare në pajtim me Nenet 44 deri 49;
(d) çdo detyrim në pajtim me të drejtën e Shtetit Anëtar të miratuar sipas Kapitullit IX;
(e) Mosrespektimi i një urdhri ose një kufizimi të përkohshëm ose të përhershëm për përpunimin
ose pezullimin e fluksit të të dhënave nga autoriteti mbikëqyrës në pajtim me Nenin 58(2) ose
mosdhënie aksesi në shkelje të Nenit 58(1).
6. Mosrespektimi i një urdhri nga një autoritet mbikëqyrës sipas referimit në Nenin 58(2), në
pajtim me paragrafin 2 të këtij Neni, u nënshtrohen gjobave administrative deri në 20 000 000 Euro
ose në rastin e një ndërmarrjeje deri në 4% të xhiros të përgjithshme vjetore botërore të vitit financiar
pararendës, cilado ë të jetë më i lartë.
7. Pa cenuar kompetencat korrigjuese të autoriteteve mbikëqyrëse në pajtim me Nenin 58(2),
çdo Shtet Anëtar mund të përcaktojë rregullat nëse dhe në cilën masë gjobat administrative mund të
vendosen për autoritetet publike he organet e ngritura në atë Shtet Anëtar.
8. Ushtrimi i kompetencave sipas këtij Neni nga autoriteti mbikëqyrës u nënshtrohet garancive
të duhura procedurale në pajtim me të drejtën e Bashkimit dhe Shtetit Anëtar, duke përfshirë mjetet
mbrojtëse gjyqësore dhe procesin e rregullt.
9. Nëse sistemi ligjor i Shtetit Anëtar nuk parashikon gjoba administrative, ky Nen mund të
zbatohet në atë mënyrë që gjoba të fillohet nga autoriteti mbikëqyrës kompetent dhe të vendoset nga
gjykatat kombëtare kompetente, duke siguruar që këto mjete gjyqësore të jenë të efektshme dhe të
kenë një efekt të barasvlershëm me gjobat administrative të vendosura nga autoritetet mbikëqyrëse.
Në çdo rast, gjobat e caktuara duhet të jenë efektive, proporcionale dhe penguese. Këto Shtete
Anëtare i njoftojnë Komisionit dispozitat e së drejtës së vet që ata i miratojnë në pajtim me këtë
paragraf brenda datës 25 maj 2018 dhe, pa vonesë, çdo ligj ndryshues pasues ose ndryshim që prek
ato.
Neni 84
Penalitetet
1. Shtetet Anëtare caktojnë rregullat për penalitetet e tjera për shkeljet e kësaj Rregulloreje
veçanërisht për shkeljet që nuk u nënshtrohen gjobave administrative në pajtim me Nenin 83 dhe
marrin të gjitha masat e nevojshme për të garantuar që ato të zbatohen Këto penalitete duhet të jenë
efektive, proporcionale dhe penguese.
2. Secili Shtet Anëtar i njofton Komisionit dispozitat e së drejtës së vet që ai i miraton në pajtim
me paragrafin 1 brenda datës 25 maj 2018 dhe, pa vonesë, çdo ndryshim pasues që prek ato.
KAPITULLI IX
Dispozitat në lidhje me situatat e përpunimit specifik
Neni 85
Përpunimi dhe liria dhe shprehjes dhe informacionit
1. Shtetet Anëtare mund të harmonizojnë me ligj të drejtën e mbrojtjes së të dhënave personale
në pajtim me këtë Rregullore me të drejtën e lirisë së shprehjes dhe informimit, duke përfshirë
përpunimin për qëllime gazetareske dhe qëllimet e shprehjes akademike, artistike ose letrare.
2. Për përpunimin e kryer për qëllime gazetareske ose për qëllime të shprehjes akademike,
artistike ose letrare, Shtetet Anëtare parashikojnë përjashtime ose shmangie nga Kapitulli II (parimet),
Kapitulli III (të drejtat e subjektit të të dhënave), Kapitulli IV (kontrolluesi dhe përpunuesi), Kapitulli
V (transferimi i të dhënave personale tek vendet e treta ose organizatat ndërkombëtare), Kapitulli VI
(autoritete mbikëqyrëse të pavarura), Kapitulli VII (bashkëpunimi dhe njëtrajtshmëria) dhe Kapitulli
IX (situata specifike të përpunimit të të dhënave) nëse ato janë të nevojshme për të harmonizuar të
drejtën e mbrojtjes së të dhënave personale me lirinë e shprehjes dhe informacionit.
3. Secili Shtet Anëtar i njofton Komisionit dispozitat e së drejtës së vet që ai ka miratuar në
pajtim me paragrafin 2 dhe, pa vonesë, çdo ligj ndryshues të mëvonshëm ose ndryshim që prek ato.
Neni 86
Përpunimi dhe aksesi publik tek dokumentet zyrtare
Të dhënat personale në dokumentet zyrtare që mbahen nga një autoritet publik ose organ publik ose
një organ privat për përmbushjen e një detyre që kryhet në interesin publik mund të deklarohen nga
autoriteti ose organi në pajtim me të drejtën e Bashkimit ose Shtetit Anëtar të cilit i nënshtrohet
autoriteti ose organi publik për të harmonizuar aksesin publik tek dokumentet zyrtare me të drejtën
për mbrojtjen e të dhënave personale në pajtim me këtë Rregullore.
Neni 87
Përpunimi i numrit kombëtar të identifikimit
Shtetet Anëtare mund të përcaktojnë më tej kushtet specifike për përpunimin e një numrin kombëtar
identifikimi ose çdo identifikues tjetër i zbatimit të përgjithshëm. Në këtë rast numri kombëtar i
identifikimit ose një identifikues tjetër i zbatimit të përgjithshëm përdoret vetëm me garancitë e
përshtatshme për t dejat dhe liritë ë të dhënave në pajtim me këtë Rregullore.
Neni 88
Përpunimi në kontekstin e punësimit
1. Shtetet Anëtare, me ligj ose marrëveshje kolektive, mund të parashikojnë rregulla specifike
për të garantuar mbrojtjen e të drejtave dhe lirive në lidhje me përpunimin e të dhënave personale në
kontekstin e punësimit, veçanërisht për qëllimet e rekrutimit, përmbushjen e kontratës së punësimit,
duke përfshirë përmbushjen e detyrimeve të parashikuara me ligj ose nga marrëveshjet kolektive,
menaxhimin, planifikimin dhe organizimin e punës, barazinë dhe diversitetin në vendin e punës,
shëndetin dhe sigurinë në punë, mbrojtjen e pronës së punëdhënësit ose klientit dhe për qëllimet e
ushtrimit dhe gëzimit, në bazë kolektive dhe individuale, të të drejtave dhe përfitimeve në lidhje me
punësimin dhe për qëllimet e prishjes së marrëdhënies së punësimit.
2. Këto rregulla përfshijnë masa të përshtatshme dhe specifike për të garantuar dinjitetin
njerëzor të subjektit të të dhënave, interesat legjitime dhe të drejtat themelore, duke pasur konsideratë
të veçantë për transparencën e përpunimit, transferimin e të dhënave personale brenda grupit të
ndërmarrjeve ose grupit të ndërmarrjeve të angazhuara në një aktivitet ekonomik të përbashkët dhe
sistemet e monitorimit në vendin e punës.
3. Secili Shtet Anëtar i njofton Komisionit dispozitat e së drejtës së vet që ai i miraton në pajtim
me paragrafin 1 brenda datës 25 maj 2018 dhe, pa vonesë, çdo ndryshim pasues që prek ato.
Neni 89
Garancitë dhe shmangiet në lidhje me përpunimin për qëllime arkivimi në interesin publik,
qëllime të kërkimit shkencor ose historik ose qëllime statistikore
1. Përpunimi për qëllime arkivore në interes publik, qëllime të kërkimit shkencor ose historik
ose qëllime statistikore, u nënshtrohet garancive të përshtatshme, në pajtim me këtë Rregullore, për të
drejtat dhe liritë e subjekteve të të dhënave. Këto garanci sigurojnë masat teknike dhe organizative që
janë në fuqi veçanërisht për të garantuar respektimin e parimit të minimizimit të të dhënave. Këto
masa mund të përfshijnë anonimizimin me kusht që këto qëllime të përmbushen në këtë mënyrë.
Nëse këto qëllime mund të përmbushen nëpërmjet përpunimit të mëtejshëm që nuk lejon ose nuk
vazhdon të lejojë identifikimin e subjekteve të të dhënave, këto qëllime përmbushen në atë mënyrë.
2. Nëse të dhënat personale përpunohen për qëllime të kërkimeve shkencore ose historike ose
qëllime statistikore, e drejta e Bashkimit ose e Shtetit Anëtar mund të parashikojë shmangie nga të
drejtat e referuara në nenet 15, 16, 18 dhe 21, në pajtim me kushtet dhe garancitë e referuara në
paragrafin 1 të këtij neni në masën që këto të drejta mund të bëjnë të pamundur ose të dëmtojnë
thelbësisht arritjen e qëllimeve specifike dhe këto shmangie janë të nevojshme për arritjen e atyre
qëllimeve.
3. Nëse të dhënat personale përpunohen për qëllime arkivore në interesin publik, e drejta e
Bashkimit ose e Shtetit Anëtar mund të parashikojë shmangie nga të drejtat e referuara në nenet 15,
16, 18, 19, 20 dhe 21, në pajtim me kushtet dhe garancitë e referuara në paragrafin 1 të këtij neni në
masën që këto të drejta mund të bëjnë të pamundur ose të dëmtojnë thelbësisht arritjen e qëllimeve
specifike dhe këto shmangie janë të nevojshme për arritjen e atyre qëllimeve.
4. Nëse përpunimi i referuar në paragrafët 2 dhe 3 shërben në të njëjtën kohë për një qëllim
tjetër, shmangiet zbatohen vetëm për përpunimin për qëllimet e referuara në ato paragrafë.
Neni 90
Detyrimi i fshehtësisë
1. Shtetet Anëtare mund të miratojnë rregulla specifike për t përcaktuar kompetencat e
autoriteteve mbikëqyrëse të parashikuara në pikat (e) dhe (f) të Neneve 58(1) në lidhje me
kontrolluesit ose përpunuesit që, në pajtim me të drejtën e Bashkimit ose Shtetit Anëtar ose rregullave
të përcaktuara nga organet kompetent kombëtare, i nënshtrohen një detyrimi të fshehtësisë
profesionale ose detyrimeve të tjera të barasvlershme të fshehtësisë nëse kjo është e nevojshme dhe
proporcionale për të harmonizuar të drejtën e mbrojtjes së të drejtëve personal me detyrimin e
fshehtësisë. Këto rregulla zbatohen vetëm në lidhje me të dhënat personale që kontrolluesi ose
përpunuesi ka marrë si rezultat ose ka përftuar në aktivitetin e mbuluar nga ai detyrim i fshehtësisë.
2. Secili Shtet Anëtar i njofton Komisionit rregullat e miratuar në pajtim me paragrafin 1 brenda
datës 25 maj 2018 dhe pa vonesë, çdo ndryshim pasues që prek ato.
Neni 91
Rregullat ekzistuese të mbrojtjes së të dhënave të kishave dhe shoqatave fetare
1. Nëse në një Shtet Anëtar, kishat dhe shoqatat ose komunitetet fetare zbatojnë, në momentin e
hyrjes në fuqi të kësaj Rregulloreje, rregulla të gjithëpërfshirës në lidhje me mbrojtjen e personave
fizikë në lidhje me përpunimin, këto rregulla mund të vazhdojnë të zbatohen, me kusht që ata sillen
në pajtim me këtë Rregullore.
2. Kishat dhe shoqatat fetare që zbatojnë rregulla gjithëpërfshirëse në pajtim me paragrafin 1 të
këtij Neni i nënshtrohen mbikëqyrës së një autoriteti mbikëqyrës të pavarur, që mund të jenë specifik,
me kusht që ai të përmbushë kushtet e parashikuara në Kapitullin VI të kësaj Rregulloreje.
KAPITULLI X
Aktet e deleguara dhe aktet zbatuese
Neni 92
Ushtrimi i delegimit
1. Tagri për të miratuar aktet e deleguara i caktohet Komisionit në pajtim me kushtet e
parashikuara në këtë Nen.
2. Delegimi i tagrit të përmendur në Nenin 12(8) dhe Nenin 43(8) i caktohet Komisionit për një
periudhë të pakufizuar kohe nga data 24 maj 2016.
3. Delegimi i tagrit të përmendur në Nenin 12(8) dhe Nenin 43(8) mund të revokohet në çdo
kohë nga Parlamenti Evropian ose nga Këshilli. Një vendim revokimi e pushon delegimin e tagrit të
specifikuar në atë vendim. Ai hyn në fuqi në ditën pas atij të publikimit të tij në Gazetën Zyrtare të
Bashkimit Evropian ose në një datë të mëvonshme të specifikuar në të. Ai nuk cenon vlefshmërinë e
asnjë akti të deleguar që është në fuqi.
4. Menjëherë pas miratimit të një akti të deleguar, Komisioni ia njofton atë njëkohësisht
Parlamentit Evropian dhe Këshillit.
5. Një akt i deleguar i miratuar në pajtim me Nenin 12(8) dhe Nenin 43(8) hyn në fuqi vetëm
nëse nuk është shprehur asnjë kundërshtim nga Parlamenti Evropian ose Këshilli brenda një periudhe
prej tre muajsh nga njoftimi i atij akti Parlamentit Evropian dhe Këshillit ose, nëse para skadimit të
këtij afati, Parlamenti Evropian dhe Këshilli kanë vënë së bashku në dijeni Komisionin që ata nuk do
të bëjnë kundërshtim. Ky afat mund të zgjatet me tre muaj me iniciativën e Parlamentit Evropian ose
të Këshillit.
Neni 93
Procedura e komitetit
1. Komisioni mbështetet nga një komitet. Komiteti është një komitet në kuptimin e Rregullores
(BE) Nr 182/2011.
2. Nëse bëhet referencë në këtë paragraf, zbatohet Neni 5 i Rregullores (BE) Nr 182/2011.
3. Nëse bëhet referencë në këtë paragraf, zbatohet Neni 8 i Rregullores (BE) Nr 182/2011 në
lidhje me Nenin 5 të saj.
KAPITULLI XI
Dispozita të fundit
Neni 94
Shfuqizimi i Direktivës 95/46/KE
1. Direktiva 95/46/KE shfuqizohet me fuqi nga data 25 maj 2018.
2. Referencat tek Direktiva e shfuqizuar interpretohen të jenë referencat tek kjo Rregullore.
Referencat tek Pala e Punës për Mbrojtjen e Individëve në lidhje me Përpunimin e të Dhënave
Personale të ngritur nga Neni 29 të Direktivës 95/46/KE interpretohet si referencë tek Bordi Evropian
për Mbrojtjen e të Dhënave të ngritur nga kjo Rregullore.
Neni 95
Marrëdhënia e Direktivën 2002/58/KE
Kjo Rregullore nuk vendos detyrime shtesë për personat fizikë ose juridikë në lidhje me përpunimin
në lidhje me dhënien e shërbimeve të ofruara publikisht të komunikimeve elektronike në rrjetet
publike të komunikimit në Bashkim në lidhje me çështjet për të cilat u nënshtrohen detyrimeve
specifike për të njëjtin objektiv të caktuar nga Direktiva 2002/58/KE.
Neni 96
Marrëdhënia me Marrëveshjet e lidhura më parë
Marrëveshjet ndërkombëtare që përfshijnë transferimin e të dhënave personale tek vendet e tretë ose
organizatat ndërkombëtare që janë lidhur nga Shtetet Anëtare para datës 24 maj 2016 dhe që janë në
pajtim me të drejtën e Bashkimit sipas rastit para kësaj date, mbetet në fuqi deri sa të ndryshohen,
zëvendësohen ose revokohen.
Neni 97
Raportet e Komisionit
1. Deri në datën 25 maj 2020 dhe pas kësaj një herë në katër vjet, Komisioni paraqet një raport
mbi vlerësimin dhe rishikimin e kësaj Rregulloreje për Parlamentin Evropian dhe Këshillin. Raportet
bëhen publikë.
2. Në kontekstin e vlerësimeve dhe rishikimeve të përmendura në paragrafin 1 Komisioni
shqyrton, veçanërisht, zbatimin dhe funksionimin e:
(a) Kapitullit V mbi transferimin e të dhënave personale tek vendet e tretë ose organizatat
ndërkombëtare veçanërisht vendimet e miratuara në pajtim me Nenin 45(3) të kësaj Rregulloreje dhe
vendet e miratuara mbi bazën e Nenit 25(6) të Direktivës 95/46/KE.
(b) Kapitullit VII mbi bashkëpunimin dhe njëtrajtshmërinë.
3. Për qëllimet e paragrafit 1, Komisioni mund të kërkojë informacion nga Shtetet Anëtare dhe
autoritetet mbikëqyrëse.
4. Në kryerjen e vlerësimeve dhe rishikimeve të përmendura në paragrafët 1 dhe 2 të Komisioni
merr parasysh pozicionet dhe konstatimet e Parlamentit Evropian, Këshillit dhe të organeve ose
burimeve të tjera përkatëse.
5. Komisioni, sipas rastit, paraqet propozime të përshtatshme për të ndryshuar këtë Rregullore,
veçanërisht duke marrë parasysh zhvillimet në teknologjinë e informacionit dhe në dritën e gjendjes
së përparimit të shoqërisë së informacionit.
Neni 98
Rishikimi i akteve ligjore të Bashkimit për mbrojtjen e të dhënave
Komisioni, sipas rastit, paraqet propozime legjislative me synim ndryshimin e akteve ligjore të tjerë
të Bashkimit mbi mbrojtjen e të dhënave personale, me qëllim që të garantohet mbrojtja e
njëtrajtshme dhe uniforme e personave fizikë në lidhje me përpunimin. Kjo ka të bëjë veçanërisht me
rregullat në lidhje me mbrojtjen e personave fizikë në lidhje me përpunimin nga institucionet,
organet, zyrat dhe agjencitë e Bashkimit dhe mbi lëvizjen e lirë të këtyre të dhënave.
Neni 99
Hyrja në fuqi dhe zbatimi
1. Kjo Rregullore hyn në fuqi në ditën e njëzetë pas asaj të botimit të Gazetën Zyrtare të
Bashkimit Evropian.
2. Ajo zbatohet duke filluar nga data 25 maj 2018.
Kjo Rregullore është detyruese në tërësinë e saj dhe drejtpërdrejt e zbatueshme në të gjithë Shtetet
Anëtare. Bërë në Bruksel, më 27 prill 2016.
Për Parlamentin Evropian
Presidenti
M. SCHULZ