LIGJI 124/2024 PËR MBROJTJEN E TË DHËNAVE PERSONALE

1 Ky ligj është përafruar plotësisht me:
– rregulloren (BE) nr. 679/2016, të Parlamentit Evropian dhe të Këshillit, të datës 27 prill 2016, për mbrojtjen e personave fizikë, në
lidhje me përpunimin e të dhënave personale dhe për lëvizjen e lirë të këtyre të dhënave dhe shfuqizimin e direktivës 95/46/EC, Fletorja
Zyrtare e Bashkimit Evropian, seria L, nr. 119/1, datë 4.5.2016.
– direktivën nr. 680/2016, të Parlamentit Evropian dhe të Këshillit, e datës 27 prill 2016, për mbrojtjen e personave fizikë, në lidhje me
përpunimin e të dhënave personale nga autoritetet kompetente, me qëllim parandalimin, hetimin, zbulimin, ndjekjen penale të veprave
penale apo ekzekutimin e dënimeve penale dhe për lëvizjen e lirë të këtyre të dhënave dhe shfuqizimin e vendimit kornizë të Këshillit
2008/977/JHA, numri CELEX 32016L0680, Fletorja Zyrtare e Bashkimit Evropian, seria L, nr. 119, datë 4.5.2016, f. 89.
LIGJ
Nr. 124/2024
PËR MBROJTJEN E TË DHËNAVE PERSONALE1
Në mbështetje të neneve 78 dhe 83, pika 1, të Kushtetutës, me propozimin e Këshillit të
Ministrave,
KUVENDI
I REPUBLIKËS SË SHQIPËRISË
VENDOSI:
PJESA I
DISPOZITA TË PËRGJITHSHME
Neni 1
Objekti
Ky ligj përcakton rregullat për mbrojtjen e individëve në lidhje me përpunimin e të dhënave
personale të tyre.
Neni 2
Qëllimi
Ky ligj ka për qëllim mbrojtjen e të drejtave dhe lirive themelore të njeriut dhe në veçanti të
drejtën për mbrojtjen e të dhënave personale.
Neni 3
Fusha e zbatimit lëndor
1. Ky ligj zbatohet kur të dhënat personale përpunohen tërësisht ose pjesërisht, me mjete
automatike, si dhe për përpunimin e të dhënave personale, që janë pjesë e një sistemi arkivimi ose
kanë për qëllim të bëhen pjesë e një sistemi arkivimi kur përpunimi nuk kryhet me mjete
automatike.
2. Ky ligj nuk zbatohet për përpunimin e të dhënave personale nga personat fizikë për qëllime
personale ose familjare.
Neni 4
Fusha e zbatimit territorial
1. Ky ligj zbatohet për përpunimin e të dhënave personale:
a) në kuadër të veprimtarive të një kontrolluesi ose përpunuesi të vendosur në Republikën e
Shqipërisë, pavarësisht nëse përpunimi zhvillohet ose jo në Republikën e Shqipërisë;
2
b) të subjekteve të të dhënave, që ndodhen në Republikën e Shqipërisë, nga kontrolluesi që nuk
është vendosur në Republikën e Shqipërisë, por proceset e përpunimit kanë të bëjnë me:
i. ofrimin e mallrave ose të shërbimeve, me kundërshpërblim ose jo, te subjekte të të dhënave
në Republikën e Shqipërisë; ose
ii. monitorimin e sjelljes së subjekteve të të dhënave, për aq kohë sa kjo sjellje ndodh në
Republikën e Shqipërisë;
c) nga kontrolluesi ose përpunuesi, që nuk është vendosur në Republikën e Shqipërisë, por në
një territor ku ligji shqiptar zbatohet në bazë të së drejtës ndërkombëtare publike.
2. Kur një kontrollues, për proceset e përpunimit të përcaktuara në shkronjën “b”, të pikës 1 të
këtij neni, kontrakton një përpunues, i cili nuk është i vendosur në Republikën e Shqipërisë,
zbatohet kapitulli IV, “Transferimi ndërkombëtar i të dhënave”.
Neni 5
Përkufizime
Në këtë ligj termat e mëposhtëm kanë këto kuptime:
1. “Autoritet kompetent” është gjykata, prokuroria dhe çdo organ publik, që ka në kompetencë
parandalimin, hetimin, zbulimin ose ndjekjen e veprave penale, ose ekzekutimin e dënimeve penale,
përfshirë mbrojtjen dhe parandalimin e kërcënimeve ndaj sigurisë publike, mbrojtjes ose sigurisë
kombëtare, ose çdo institucion tjetër, të cilit i është dhënë me ligj e drejta për të ushtruar funksione,
detyra ose kompetenca publike, në bazë të legjislacionit në fuqi për një ose disa prej këtyre
qëllimeve;
2. “Cenim i të dhënave personale” është çdo cenim i sigurisë, që mund të shkaktojë në mënyrë
aksidentale ose të paligjshme shkatërrimin, humbjen, ndryshimin, përhapjen ose aksesin e
paautorizuar të të dhënave personale të ruajtura, të transmetuara ose të përpunuara në ndonjë
mënyrë tjetër;
3. “E dhënë personale” është çdo informacion në lidhje me një subjekt të dhënash;
4. “Grup shoqërish tregtare” është grupi ku bën pjesë një shoqëri tregtare mëmë dhe shoqëritë
e kontrolluara prej saj;
5. “Klauzola standarde të mbrojtjes së të dhënave” janë kontratat tip të miratuara dhe të
publikuara nga Komisioneri, me qëllim garantimin e mbrojtjes së përshtatshme të të dhënave në
transferimet ndërkombëtare të tyre me marrëveshje ndërmjet dërguesit të të dhënave në Republikën
e Shqipërisë dhe marrësit të të dhënave në një vend të huaj ose organizatë ndërkombëtare;
6. “Kod sjelljeje” është një grup rregullash të miratuara nga Komisioneri dhe të krijuara nga
kategori ose degë kontrolluesish, ose përpunuesish, në mënyrë që të trajtojnë me rregullime të
detajuara zbatimin e dispozitave të këtij ligji në sektorë të veçantë;
7. “Komisioneri” është Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave
Personale, i cili është autoriteti i pavarur që monitoron e mbikëqyr të drejtën për mbrojtjen e të
dhënave personale dhe që vepron në përputhje me këtë ligj;
8. “Kontrollues” është personi fizik ose juridik dhe çdo autoritet publik, i cili, vetëm ose së
bashku me të tjerët, përcakton qëllimet e mjetet e përpunimit të të dhënave personale. Për
përpunimin e të dhënave personale, sipas dispozitave të pjesës së III të këtij ligji, kontrolluesi është
autoriteti kompetent, i cili, vetëm ose së bashku me të tjerët, përcakton qëllimet dhe mjetet e
përpunimit të të dhënave personale;
9. “Kufizimi i përpunimit” është shënjimi me qëllim kufizimin e përpunimit në të ardhmen të
të dhënave personale të ruajtura;
10. “Marrës” është personi fizik ose juridik dhe çdo autoritet publik, të cilit i janë përhapur ose
vënë në dispozicion të dhënat personale, qoftë ky një palë e tretë ose jo;
11. “Mekanizëm certifikimi” është lista e kritereve për përpunim të ligjshëm sipas këtij ligji,
miratuar nga Komisioneri dhe zbatuar nga një organ certifikues në procedurat e tij të certifikimit;
3
12. “Organizatë ndërkombëtare” është një organizatë dhe organet e saj, të cilat rregullohen
sipas të drejtës ndërkombëtare publike, ose ndonjë organ tjetër, i cili është krijuar me ose në bazë
të një marrëveshjeje ndërmjet dy ose më shumë shtetesh;
13. “Palë e tretë” është çdo person fizik ose juridik dhe çdo autoritet publik, me përjashtim të
subjektit të të dhënave, kontrolluesit, përpunuesit apo personave, i cili, nën autoritetin e
drejtpërdrejtë të kontrolluesit ose të përpunuesit, është i autorizuar të përpunojë të dhëna personale;
14. “Pëlqim” është çdo element tregues i vullnetit të subjektit të të dhënave, i dhënë lirisht, i
informuar dhe i qartë, nëpërmjet të cilit ai, me anë të një deklarate ose me çdo lloj shfaqjeje tjetër
të padyshimtë pohuese të vullnetit, shpreh dakordësinë për përpunimin e të dhënave personale, që
lidhen me të për një ose më shumë qëllime specifike;
15. “Përfaqësues” është person fizik, që ka vendbanimin apo vendqëndrimin, ose person
juridik, që ka qendrën, degën apo zyrën e përfaqësimit në territorin e Republikës së Shqipërisë, i
caktuar nga kontrolluesi ose përpunuesi për përfaqësimin e tij në çështje që lidhen me zbatimin e
këtij ligji;
16. “Përpunim” është çdo veprim ose një grup veprimesh, që kryhet mbi të dhënat personale
ose grupe të dhënash personale, pavarësisht nëse kryhen me mjete të automatizuara ose jo, të tilla,
si: mbledhja, regjistrimi, organizimi, strukturimi, ruajtja, përshtatja ose ndryshimi, rikthimi,
konsultimi, përdorimi, përhapja me anë të transmetimit, shpërndarjes ose vënies në dispozicion në
ndonjë mënyrë tjetër, lidhja ose kombinimi, kufizimi, fshirja ose shkatërrimi;
17. “Përpunim i mëtejshëm” është përpunimi i të dhënave për një qëllim tjetër, të ndryshëm
nga ai fillestar, i përcaktuar në momentin e mbledhjes së të dhënave, duke përfshirë transferimin
ose vënien në dispozicion të të dhënave për këtë qëllim të ri;
18. “Përpunues” është personi fizik ose juridik dhe çdo autoritet publik, i cili përpunon të dhëna
personale për llogari të kontrolluesit;
19. “Profilizim” është çdo formë e përpunimit të automatizuar të të dhënave personale, që
konsiston në përdorimin e të dhënave për të vlerësuar aspekte të caktuara që lidhen me një person
fizik, veçanërisht për të analizuar ose për të parashikuar aspekte lidhur me performancën në punë,
gjendjen ekonomike, shëndetin, preferencat personale, interesat, besueshmërinë, sjelljen,
vendndodhjen ose lëvizjet e tij;
20. “Pseudonimizimi” është përpunimi i të dhënave në mënyrë të tillë që ato të mos i atribuohen
një subjekti specifik të dhënash pa përdorimin e informacioneve shtesë, me kusht që ky
informacion shtesë të ruhet veçmas e t’u nënshtrohet masave teknike dhe organizative të marra
për të siguruar se të dhënat personale nuk mund t’i atribuohen një personi fizik të identifikuar ose
të identifikueshëm;
21. “Rregullat e detyrueshme të shoqërive tregtare” janë politikat e mbrojtjes së të dhënave
personale, të cilat zbatohen nga një kontrollues ose përpunues, të vendosur në territorin e
Republikës së Shqipërisë, në lidhje me transferimet ose një grup transferimesh të të dhënave
personale tek një kontrollues, ose përpunues të vendosur në një ose më shumë shtete të tjera, pjesë
e një grupi shoqërish tregtare, ose grupit të tregtarëve dhe shoqërive tregtare që kryejnë aktivitet të
përbashkët ekonomik;
22. “Sistem arkivimi” është çdo grup i strukturuar i të dhënave personale, i cili është i
aksesueshëm në bazë të kritereve specifike dhe që mund të jetë i centralizuar, i decentralizuar ose
i shpërndarë në mënyrë funksionale, ose gjeografike;
23. “Subjekt i të dhënave” është çdo person fizik i identifikuar ose i identifikueshëm. Një person
është i identifikueshëm nëse mund të arrihet në identifikimin e tij, duke iu referuar drejtpërdrejt
ose tërthorazi një apo disa faktorëve identifikues të veçantë, si: emri, numri i identifikimit, të dhënat
për vendndodhjen, një identifikues në internet, ose një apo më shumë faktorëve specifikë, lidhur
me identitetin e tij fizik, fiziologjik, identitetin gjenetik, mendor, ekonomik, kulturor ose shoqëror;
24. “Të dhëna biometrike” janë të dhënat personale, që rezultojnë nga përpunimi teknik specifik
i karakteristikave fizike, fiziologjike ose të sjelljes së një personi, të cilat bëjnë të mundur, ose
konfirmojnë identifikimin unik të atij personi, siç janë imazhet e fytyrës ose gjurmët daktiloskopike;
4
25. “Të dhëna gjenetike” janë të dhënat personale, që kanë të bëjnë me karakteristikat gjenetike
të trashëguara ose të fituara të një personi, të cilat japin informacion unik lidhur me fiziologjinë ose
shëndetin e tij e që përftohen, veçanërisht, si rezultat i analizës së një kampioni biologjik të marrë
nga ai person;
26. “Të dhëna për shëndetin” janë të dhënat personale për shëndetin fizik ose mendor të një
personi, duke përfshirë dhënien e shërbimeve të kujdesit shëndetësor, që tregon informacionin në
lidhje me gjendjen e tij ose të saj shëndetësore;
27. “Të dhëna penale” janë të dhënat personale në lidhje me dënimet penale, veprat penale dhe
masat e sigurimit të lidhura me to;
28. “Të dhëna sensitive” janë kategori të veçanta të të dhënave personale, që zbulojnë origjinën
racore ose etnike, mendimet politike, besimin fetar ose pikëpamjet filozofike, anëtarësimin në
sindikata, të dhënat gjenetike, të dhënat biometrike, të dhënat për shëndetin, jetën ose orientimin
seksual të një personi;
29. “Të dhëna të anonimizuara” janë të dhëna, të cilat kanë qenë fillimisht të dhëna personale,
por janë përpunuar në mënyrë të tillë që nuk është më e mundur që një person fizik ose juridik t’ia
atribuojë këto të dhëna një personi fizik të identifikuar ose të identifikueshëm;
30. “Tregtar dhe shoqëri tregtare” është një person fizik ose juridik i përfshirë në një aktivitet
ekonomik, pavarësisht nga forma e tij juridike, përfshirë partneritetet ose format e tjera të
organizimit të profesionistëve, i angazhuar rregullisht në një aktivitet ekonomik;
31. “Veprimtari në fushën e gazetarisë” janë aktivitetet që kanë për qëllim publikimin e
informacioneve, të mendimeve ose të ideve, të cilat kontribuojnë në debatin me interes publik,
pavarësisht nga forma e ofrimit të tyre.
PJESA II
PËRPUNIMI I TË DHËNAVE PERSONALE
KAPITULLI I
PARIMET PËR PËRPUNIMIN E LIGJSHËM TË TË DHËNAVE PERSONALE
Neni 6
Parimet për përpunimin e ligjshëm të të dhënave personale
Përpunimi i të dhënave personale bëhet duke respektuar parimet si më poshtë:
1. Parimi i ligjshmërisë, i drejtësisë dhe i transparencës, që nënkupton se përpunimi kryhet në
mënyrë të ligjshme, të drejtë e transparente kundrejt subjektit të të dhënave.
2. Parimi i përpunimit në përputhje me qëllimin, që nënkupton se të dhënat personale mblidhen
për një qëllim specifik e të ligjshëm, të përcaktuar qartë në momentin e mbledhjes, dhe nuk
përpunohen më tej për një qëllim tjetër, që nuk është në përputhje me qëllimin fillestar.
3. Parimi i minimizimit të të dhënave, që nënkupton se të dhënat personale janë të përshtatshme
e të nevojshme për qëllimin e përpunimit dhe të kufizuara në masën që është e nevojshme për
realizimin e qëllimit.
4. Parimi i saktësisë së të dhënave, që nënkupton se të dhënat personale janë të sakta e të
përditësuara kur kjo është e nevojshme, si dhe, në përputhje me qëllimin e përpunimit, ndërmerren
të gjithë hapat e nevojshëm për fshirjen e korrigjimin e menjëhershëm të të dhënave të pasakta ose
të paplota.
5. Parimi i kufizimit të ruajtjes në kohë, që nënkupton se të dhënat personale mbahen në një
formë që lejon identifikimin e subjekteve të të dhënave për një periudhë jo më të gjatë se sa është
e nevojshme për qëllimin për të cilin ato përpunohen. Të dhënat personale mund të ruhen për
periudha më të gjata, me kusht që ato të përpunohen vetëm për qëllime arkivimi në interesin publik,
qëllime kërkimore, shkencore apo historike ose qëllime statistikore, duke zbatuar masat e duhura
teknike dhe organizative për të mbrojtur të drejtat e liritë e subjektit të të dhënave.
5
6. Parimi i integritetit dhe i konfidencialitetit, që nënkupton se të dhënat personale përpunohen
në mënyrë të tillë që të garantohet siguria e nevojshme e të dhënave personale, duke përfshirë
mbrojtjen nga përpunimi i paautorizuar ose i paligjshëm dhe humbja, shkatërrimi ose dëmtimi
aksidental, nëpërmjet përdorimit të masave të duhura teknike dhe organizative.
7. Parimi i përgjegjshmërisë, që nënkupton se kontrolluesi është përgjegjës dhe duhet të jetë në
gjendje të provojë përputhshmërinë me parimet e parashikuara në këtë nen.
Neni 7
Kriteret ligjore për përpunimin e të dhënave personale
1. Përpunimi është i ligjshëm vetëm nëse dhe për aq sa përmbushet të paktën njëri prej kritereve
si më poshtë:
a) subjekti i të dhënave ka dhënë pëlqimin për përpunimin e të dhënave të tij personale për një
ose më shumë qëllime specifike;
b) përpunimi është i nevojshëm për përmbushjen e një kontrate, ku subjekti i të dhënave është
palë, ose për marrjen e hapave që i paraprijnë lidhjes së një kontrate sipas kërkesës së subjektit të
të dhënave;
c) përpunimi është i nevojshëm për përmbushjen e një detyrimi ligjor të kontrolluesit;
ç) përpunimi është i nevojshëm për të mbrojtur interesat jetikë të subjektit të të dhënave ose të
një personi tjetër;
d) përpunimi është i domosdoshëm për përmbushjen nga kontrolluesi të një detyre ligjore me
interes publik ose kur atij i është dhënë e drejta për të ushtruar funksione, detyra ose kompetenca
publike në bazë të legjislacionit në fuqi;
dh) përpunimi është i domosdoshëm për përmbushjen e interesave të ligjshëm të kontrolluesit
ose të një pale të tretë, me përjashtim të rastit kur interesat, ose të drejtat dhe liritë themelore të
subjektit të të dhënave, që kërkojnë mbrojtje të të dhënave personale, veçanërisht kur subjekti i të
dhënave është i mitur, kanë përparësi mbi këto interesa. Kjo shkronjë nuk zbatohet për përpunimin
që kryhet nga autoritetet publike në përmbushjen e detyrave të tyre, sipas shkronjës “d” të kësaj
pike.
2. Përpunimi sipas shkronjave “c” dhe “d”, të pikës 1 të këtij neni, duhet të bazohet në ligj. Ligji
duhet të parashikojë qëllimin e përpunimit ose për përpunimin, sipas shkronjës “d”, të pikës 1 të
këtij neni, qëllimi i përpunimit duhet të jetë i domosdoshëm për përmbushjen e një detyre ligjore
me interes publik ose për të ushtruar funksione, detyra, ose kompetenca publike, kur kontrolluesit
i është dhënë kjo e drejtë në bazë të legjislacionit në fuqi. Ligji duhet të përmbushë një objektiv të
interesit publik dhe të jetë proporcional me qëllimin legjitim që rregullon.
3. Ligji, sipas pikës 2 të këtij neni, mund të përmbajë dispozita specifike për të përshtatur
zbatimin e dispozitave të këtij ligji, përfshirë:
a) kushtet e përgjithshme që rregullojnë ligjshmërinë e përpunimit nga kontrolluesi;
b) llojet e të dhënave që i nënshtrohen përpunimit;
c) subjektet e të dhënave të interesuara;
ç) subjektet të cilave mund t’u shpërndahen të dhënat personale ose qëllimet e shpërndarjes së
tyre;
d) kufizimin e qëllimit të përpunimit në përputhje me parimin e përpunimit, në përputhje me
qëllimin;
dh) afatet e ruajtjes së të dhënave personale;
e) aktivitetet e përpunimit dhe procedurat e përpunimit, duke përfshirë masat për të siguruar
një përpunim të ligjshëm dhe të drejtë të tyre për situata të tjera specifike, sipas parashikimit në
kapitullin V të kësaj pjese.
4. Nëse përpunimi për një qëllim tjetër nga ai për të cilin janë mbledhur të dhënat personale
nuk bazohet në pëlqimin e subjektit të të dhënave ose në një ligj që përbën një masë të nevojshme
dhe proporcionale në një shoqëri demokratike për të garantuar objektivat e përcaktuar në pikën 1,
6
të nenit 21 të këtij ligji, kontrolluesi, me qëllim që të konstatojë nëse përpunimi për një qëllim tjetër
është në pajtim me qëllimin për të cilin janë mbledhur fillimisht të dhënat personale, ndër të tjera,
merr parasysh:
a) çdo lidhje ndërmjet qëllimeve për të cilat janë mbledhur të dhënat personale dhe qëllimet e
përpunimit të mëtejshëm të synuar;
b) kontekstin në të cilin janë mbledhur të dhënat personale, veçanërisht në lidhje me raportin
ndërmjet subjekteve të të dhënave dhe kontrolluesit;
c) natyrën e të dhënave personale, veçanërisht nëse përpunohen të dhëna sensitive ose të dhëna
penale;
ç) pasojat e mundshme për subjektet e të dhënave nga përpunimi i mëtejshëm i synuar;
d) ekzistencën e masave të përshtatshme mbrojtëse, që mund të përfshijnë enkriptimin ose
pseudonimizimin.
Neni 8
Kriteret për vlefshmërinë e pëlqimit
1. Kur përpunimi kryhet mbi bazën e pëlqimit, kontrolluesi duhet të jetë në gjendje të provojë
që subjekti i të dhënave ka dhënë pëlqimin për përpunimin e të dhënave personale të tij.
2. Nëse pëlqimi i subjektit të të dhënave jepet në kontekstin e një deklarate me shkrim, e cila
përfshin edhe çështje të tjera, kërkesa për pëlqim paraqitet në mënyrë të tillë që të dallohet qartë
nga çështjet e tjera, në një formë të kuptueshme dhe lehtësisht të aksesueshme, duke përdorur një
gjuhë të qartë e të thjeshtë. Çdo pjesë e deklaratës që përbën shkelje të këtij ligji është e pavlefshme.
3. Subjekti i të dhënave ka të drejtë ta tërheqë pëlqimin e tij në çdo kohë, si dhe të informohet
mbi këtë të drejtë përpara dhënies së pëlqimit. Tërheqja e pëlqimit nuk cenon ligjshmërinë e
përpunimit bazuar mbi këtë pëlqim, përpara tërheqjes së tij. Tërheqja duhet të jetë po aq e lehtë sa
është edhe dhënia e pëlqimit.
4. Pëlqimi nuk konsiderohet i dhënë lirisht kur ekzistojnë elemente detyrimi, presioni ose
pamundësie për të ushtruar vullnetin e lirë, veçanërisht kur vjen si pasojë e kushteve të pabarabarta
ndërmjet kontrolluesit dhe subjektit të të dhënave.
5. Gjatë vlerësimit, nëse pëlqimi është i dhënë lirisht, merret veçanërisht parasysh nëse, ndër të
tjera, përmbushja e një kontrate, duke përfshirë dhënien e një shërbimi, kushtëzohet me pëlqimin
për përpunimin e të dhënave personale, të cilat nuk janë të nevojshme për përmbushjen e asaj
kontrate.
6. Përpunimi i të dhënave personale të të miturit mbi bazën e dhënies së pëlqimit, në kuadër të
ofrimit në internet të mallrave ose të shërbimeve të drejtpërdrejta ndaj tij, është i ligjshëm vetëm
nëse i mituri është të paktën 16 vjeç. Kur i mituri është nën moshën 16 vjeç, përpunimi është i
ligjshëm vetëm kur pëlqimi jepet ose autorizohet nga prindi ose kujdestari i tij ligjor dhe për aq sa
jepet ose autorizohet prej tij.
Neni 9
Përpunimi i ligjshëm i të dhënave sensitive
1. Përpunimi i të dhënave sensitive është i ndaluar.
2. Përpunimi i të dhënave sensitive lejohet në rast se zbatohen masa të përshtatshme për
mbrojtjen e të drejtave themelore e të interesave të subjekteve të të dhënave dhe vetëm në rastet
kur:
a) subjekti i të dhënave ka dhënë shprehimisht pëlqimin për përpunimin e tyre për një ose disa
qëllime të përcaktuara, me përjashtim të rastit kur legjislacioni në fuqi parashikon se nuk mund të
hiqet dorë nga ndalimi i përpunimit të të dhënave sensitive me anë të pëlqimit nga subjekti i të
dhënave;
7
b) përpunimi i të dhënave është i nevojshëm për përmbushjen e një detyrimi ose të drejte
specifike të kontrolluesit, ose të subjektit të të dhënave në fushën e punësimit, ose të sigurimeve
shoqërore dhe të mbrojtjes sociale, duke përfshirë detyrimet dhe të drejtat që rrjedhin nga një
marrëveshje kolektive, në përputhje me legjislacionin në fuqi në këto fusha, me kusht që të
garantohen të drejtat themelore dhe interesat e subjektit të të dhënave;
c) është i nevojshëm për mbrojtjen e interesave jetikë të subjektit të të dhënave ose të një
personi tjetër fizik, kur subjekti i të dhënave e ka të pamundur të japë pëlqimin për shkak të gjendjes
së tij shëndetësore ose kur i është hequr apo kufizuar e drejta për të vepruar;
ç) kryhet gjatë veprimtarisë së ligjshme të organizatave jofitimprurëse politike, filozofike, fetare
dhe sindikaliste, me kusht që përpunimi të lidhet vetëm me anëtarët ose ish-anëtarët e organizatës
ose me persona që kanë kontakte të rregullta me të në kuadër të veprimtarisë së saj, si dhe që të
dhënat personale të mos përhapen jashtë organizatës pa pëlqimin e subjekteve të të dhënave;
d) lidhet me të dhëna që janë bërë haptazi publike nga subjekti i të dhënave dhe përpunimi
është i nevojshëm për realizimin e një interesi të ligjshëm;
dh) është i nevojshëm për paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të drejte,
detyrimi, apo interesi të ligjshëm përpara gjykatës ose autoriteteve publike;
e) është i nevojshëm për përmbushjen e një interesi publik thelbësor bazuar në legjislacionin
në fuqi, i cili është proporcional me qëllimin e ndjekur, respekton thelbin e së drejtës së mbrojtjes
së të dhënave;
ë) është i nevojshëm për qëllime të mjekësisë parandaluese ose në kuadër të dëmeve të shëndetit
në punë, për vlerësimin e aftësisë për punë të punonjësit, për diagnostikimin mjekësor, për ofrimin,
trajtimin ose menaxhimin e shërbimeve shëndetësore, ose të kujdesit shëndetësor sipas ligjit, ose
në zbatim të një kontrate me një profesionist të kujdesit shëndetësor dhe me kusht që përpunimi
të kryhet nga punonjës që i nënshtrohet sekretit profesional apo punonjës nën përgjegjësinë e tij
ose nga një person tjetër që i nënshtrohet sekretit profesional;
f) është i nevojshëm për arsye të interesit publik në fushën e shëndetit publik, mbrojtjen nga
kërcënimet serioze ndërkufitare, për shëndetin ose garantimin e standardeve të larta të cilësisë dhe
sigurisë së kujdesit shëndetësor e produkteve, ose pajisjeve mjekësore, sipas legjislacionit në fuqi
që garanton masa të përshtatshme mbrojtëse, në veçanti, detyrimin për ruajtjen e sekretit
profesional të personave që përpunojnë të dhënat personale;
g) është i nevojshëm për qëllime arkivimi për interes publik, për qëllime historike, kërkimore,
shkencore ose qëllime statistikore, në përputhje me nenin 45 të këtij ligji.
Neni 10
Përpunimi i ligjshëm i të dhënave penale
Përpunimi i të dhënave penale kryhet vetëm nën kontrollin e autoritetit kompetent ose kur
përpunimi autorizohet me ligj, duke siguruar mbrojtje të përshtatshme për të drejtat dhe liritë e
subjekteve të të dhënave. Regjistri i gjendjes gjyqësore mbahet nën kontrollin dhe mbikëqyrjen e
Ministrisë së Drejtësisë, në përputhje me legjislacionin në fuqi.
Neni 11
Përpunimi që nuk kërkon identifikim
1. Nëse qëllimet për të cilat një kontrollues përpunon të dhëna personale nuk kërkojnë
identifikimin e një subjekti të dhënash nga kontrolluesi ose ky identifikim nuk është më i
nevojshëm, kontrolluesi nuk është i detyruar të mbajë, të marrë ose të përpunojë informacion
shtesë për të identifikuar subjektin e të dhënave, me qëllimin e vetëm për respektimin e këtij ligji.
2. Kur në rastet e përmendura në pikën 1 të këtij neni kontrolluesi vërteton se nuk është në
gjendje të identifikojë subjektin e të dhënave, kontrolluesi informon subjektin e të dhënave, sipas
rastit. Në këto raste, nenet 13–20 të këtij ligji nuk zbatohen, me përjashtim të rastit kur subjekti i të
8
dhënave jep informacion shtesë për të mundësuar identifikimin e tij, për të ushtruar të drejtat e
parashikuara nga këto nene.
KAPITULLI II
TË DREJTAT E SUBJEKTIT TË TË DHËNAVE
Seksioni 1
Transparenca me subjektet e të dhënave
Neni 12
Komunikimi me subjektin e të dhënave dhe mënyrat e ushtrimit të të drejtave nga
subjekti i të dhënave
1. Kontrolluesi merr të gjitha masat e përshtatshme për t’i dhënë subjektit të të dhënave çdo
informacion dhe zhvillon çdo komunikim sipas neneve 13–20 të këtij ligji për përpunimin e të
dhënave të tij në formë koncize, transparente, të kuptueshme dhe lehtësisht të aksesueshme, duke
përdorur gjuhë të qartë dhe të thjeshtë, veçanërisht për sa i takon informacionit që i drejtohet në
mënyrë specifike një të mituri. Informacionet ofrohen me shkrim ose me çdo mjet tjetër, si dhe
kur është e përshtatshme me mjete elektronike. Kur kërkohet nga subjekti i të dhënave,
informacioni mund të ofrohet në formë verbale, me kusht që identiteti i subjektit të të dhënave të
provohet me mjete të tjera.
2. Kontrolluesi lehtëson ushtrimin e të drejtave të subjektit të të dhënave të përcaktuara sipas
neneve 13–20 të këtij ligji. Në rastet e përmendura në pikën 2, të nenit 11 të këtij ligji, kontrolluesi
nuk mund të refuzojë shqyrtimin e kërkesës së subjektit të të dhënave për ushtrimin e të drejtave
të tij, me përjashtim të rastit kur provon se nuk mundet të identifikojë subjektin e të dhënave.
3. Kur kontrolluesi ka dyshime të arsyeshme në lidhje me identitetin e personit, i cili paraqet
kërkesë sipas neneve 13–20 të këtij ligji, kontrolluesi kërkon informacion shtesë, me qëllim
verifikimin e identitetit të subjektit të të dhënave.
4. Kontrolluesi e informon subjektin e të dhënave, në lidhje me përmbushjen e kërkesës ose
arsyen e refuzimit të saj sa më shpejt të jetë e mundur dhe, në çdo rast, jo më vonë se 30 (tridhjetë)
ditë nga data e marrjes së kërkesës. Kjo periudhë mund të zgjatet deri në 60 (gjashtëdhjetë) ditë,
kur është e nevojshme, duke marrë parasysh kompleksitetin dhe numrin e kërkesave të marra.
Kontrolluesi informon në mënyrë të arsyetuar subjektin e të dhënave për çdo zgjatje afati brenda
30 (tridhjetë) ditëve nga marrja e kërkesës së bashku me shkaqet e vonesës. Kur subjekti i të
dhënave bën kërkesë me mjete në format elektronik, informacioni jepet me mjete elektronike, sipas
rastit, përveçse kur kërkohet ndryshe nga subjekti i të dhënave. Në rastet kur nuk e trajton kërkesën
ose refuzon përmbushjen e saj, kontrolluesi, jo më vonë se 30 (tridhjetë) ditë nga data e marrjes së
kërkesës, informon subjektin e të dhënave për arsyet e mostrajtimit ose të refuzimit të përmbushjes
së kërkesës, si dhe për mundësinë e paraqitjes së ankesës te Komisioneri dhe padisë pranë gjykatës.
5. Përgjigja ndaj kërkesës së një subjekti të të dhënave, sipas neneve 13–20 të këtij ligji, ofrohet
falas. Kur kërkesat nga një subjekt i të dhënave janë qartazi të pabazuara ose të tepruara, sidomos
për shkak të karakterit të tyre të përsëritur, kontrolluesi mund:
a) të vendosë një tarifë të arsyeshme, duke marrë parasysh kostot administrative për ofrimin e
informacionit ose të komunikimit, ose për të ndërmarrë veprimin e kërkuar; ose
b) të refuzojë ndërmarrjen e veprimeve për kërkesën.
6. Kontrolluesi ka barrën për të provuar natyrën qartësisht të pabazuar ose të tepruar të
kërkesës.
Seksioni 2
Të drejtat e subjektit të të dhënave
9
Neni 13
E drejta për informim
1. Kur të dhënat personale mblidhen me bashkëpunimin e subjektit të të dhënave dhe subjekti
i të dhënave nuk e ka informacionin e përmendur më poshtë, kontrolluesi i jep atij informacionin
e mëposhtëm lidhur me:
a) identitetin dhe të dhënat e kontaktit të kontrolluesit dhe, sipas rastit, të dhënat e kontaktit të
përfaqësuesit, si dhe të nëpunësit të mbrojtjes së të dhënave të kontrolluesit;
b) qëllimet e përpunimit për të cilat janë të destinuara të dhënat personale, si dhe bazën ligjore
për përpunimin;
c) ekzistencën dhe logjikën e vendimmarrjes automatike dhe profilizimit, sipas pikave 1 e 3, të
nenit 20 të këtij ligji, dhe, të paktën, në ato raste, informacionin e duhur lidhur me logjikën
përkatëse, si dhe rëndësinë e pasojat e parashikuara të këtij përpunimi për subjektin e të dhënave;
ç) periudhën e parashikuar të mbajtjes së të dhënave personale ose, nëse kjo nuk është e
mundur, kriteret e përdorura për të përcaktuar këtë periudhë;
d) ekzistencën e së drejtës për të tërhequr pëlqimin në çdo kohë, pa ndikuar në ligjshmërinë e
përpunimit, bazuar në pëlqimin para tërheqjes së tij, kur përpunimi kryhet mbi bazën e pëlqimit
dhe të interesit të ligjshëm të kontrolluesit ose të palës së tretë, kur përpunimi kryhet mbi bazën e
një interesi të ligjshëm;
dh) informacion, nëse subjekti i të dhënave është i detyruar ose jo të japë të dhënat dhe nëse
dhënia e të dhënave personale është detyrim që buron nga legjislacioni në fuqi, kushtet e kontratës
apo kushtet për të hyrë në një marrëdhënie kontraktore, si dhe pasojat e mundshme nga mosdhënia
e këtyre të dhënave;
e) marrësit ose kategoritë e marrësve, nëse ka;
ë) nëse të dhënat do të transferohen në vende të huaja dhe, nëse po, si garantohet mbrojtja e
duhur, përfshirë informacionin për masat e përshtatshme të mbrojtjes dhe mënyrën me të cilat
mund të merret një kopje e tyre ose vendin ku ofrohen ato;
f) ushtrimin e të drejtave sipas neneve 14–20 të këtij ligji, si dhe për të drejtën për të paraqitur
ankesë te Komisioneri.
2. Kur të dhënat personale nuk mblidhen me bashkëpunimin e subjektit të të dhënave, krahas
informacionit, sipas pikës 1 të këtij neni, subjekti i të dhënave informohet edhe për kategoritë e të
dhënave personale që do të përpunohen, burimin e tyre dhe, sipas rastit, nëse ato janë marrë nga
burime të aksesueshme nga publiku. Ky informacion nuk jepet kur:
a) dhënia e informacionit është e pamundur ose përbën një përpjekje jo të arsyeshme dhe
kontrolluesi ka marrë masat e duhura për të mbrojtur të drejtat dhe interesat e ligjshëm të subjektit
të të dhënave;
b) marrja e të dhënave nga burime të tjera përveç subjektit të të dhënave përcaktohet
shprehimisht me ligj; ose
c) dhënia e informacionit nuk lejohet për shkak të detyrimit për ruajtjen e sekretit profesional
sipas ligjit.
3. Informacioni i mësipërm jepet:
a) përpara se subjekti i të dhënave të ofrojë të dhënat, sipas pikës 1 të këtij neni;
b) në rast mbledhjeje të informacionit, sipas pikës 2 të këtij neni:
i. brenda një afati të arsyeshëm, por jo më vonë se 30 (tridhjetë) ditë pasi të jenë marrë të dhënat;
ose
ii. nëse të dhënat personale do të përdoren për komunikim me subjektin e të dhënave, jo më
vonë se momenti i komunikimit të parë me subjektin e të dhënave; ose
iii. kur parashikohet përhapja tek një marrës tjetër, jo më vonë se momenti kur të dhënat
personale janë përhapur për herë të parë.
4. Kur kontrolluesi synon të kryejë përpunim të mëtejshëm dhe subjektit të të dhënave nuk i
është dhënë më parë informacioni, përpara se të fillojë këtë përpunim, kontrolluesi i ofron subjektit
10
të të dhënave informacion mbi qëllimin tjetër, si dhe i jep të gjitha informacionet e parashikuara në
pikat 1 dhe 2 të këtij neni, sipas rastit.
5. Detyrimi për të informuar sipas përcaktimeve të këtij neni mund të përmbushet edhe nga
përpunuesi për llogari të kontrolluesit, nëse është autorizuar prej tij, me kusht që nga informacioni
të rezultojë qartë se cili është kontrolluesi dhe si mund të kontaktohet ai.
Neni 14
E drejta për akses
1. Subjekti i të dhënave ka të drejtë të marrë nga kontrolluesi, jo më vonë se 30 (tridhjetë) ditë
nga data e paraqitjes së kërkesës, një konfirmim nëse të dhënat personale në lidhje me të janë duke
u përpunuar apo jo, si dhe, kur është rasti, të ketë akses në të dhënat personale dhe informacionin
e mëposhtëm:
a) qëllimin e përpunimit;
b) ekzistencën dhe logjikën e vendimmarrjes automatike dhe të profilizimit, sipas pikave 1 e 3,
të nenit 20 të këtij ligji, dhe, të paktën në ato raste, informacionin e duhur lidhur me logjikën
përkatëse, si dhe rëndësinë e pasojat e parashikuara të këtij përpunimi për subjektin e të dhënave;
c) afatin e parashikuar të ruajtjes së të dhënave personale ose, nëse kjo nuk është e mundur,
kriteret që përdoren për të përcaktuar këtë afat;
ç) bazën ligjore të përpunimit;
d) kategoritë e të dhënave personale në fjalë, duke përfshirë, në rastet kur të dhënat personale
nuk janë mbledhur nga subjekti i të dhënave, çdo informacion të disponueshëm për burimin e
këtyre të dhënave;
dh) marrësit ose kategoritë e marrësve, të cilëve u janë përhapur ose do t’u përhapen të dhënat
personale, në veçanti, marrësit në vendet e huaja ose organizatat ndërkombëtare, përfshirë rastin
kur të dhënat transferohen në vende të huaja dhe, nëse po, si sigurohet mbrojtja e duhur;
e) ekzistencën e të drejtave sipas neneve 15–20 të këtij ligji dhe të drejtën për të paraqitur ankesë
te Komisioneri.
2. Kontrolluesi i ofron falas subjektit të të dhënave një kopje të listës së kategorive të të dhënave
të përpunuara, duke treguar përmbajtjen e secilës kategori, që lidhet me subjektin e të dhënave dhe
pa cenuar të drejtat dhe liritë themelore të personave të tjerë. Për çdo kopje të mëvonshme të
kërkuar nga subjekti i të dhënave, kontrolluesi mund të aplikojë një tarifë të arsyeshme në bazë të
kostove administrative. Kur subjekti i të dhënave e bën kërkesën me mjete elektronike dhe nuk ka
përcaktuar formë tjetër në të cilën kërkohet përgjigjja, informacioni ofrohet në formën elektronike
që përdoret zakonisht.
Neni 15
E drejta për korrigjim dhe fshirje
1. Subjekti i të dhënave ka të drejtën e korrigjimit nga kontrolluesi i të dhënave të pasakta
personale, që lidhen me të sa më shpejt të jetë e mundur, por jo më vonë se 30 (tridhjetë) ditë nga
data e marrjes së kërkesës. Në përputhje me qëllimet e përpunimit, subjekti i të dhënave ka të
drejtën e plotësimit të të dhënave personale jo të plota edhe me anë të një deklarate plotësuese.
2. Subjekti i të dhënave ka të drejtën e fshirjes nga kontrolluesi i të dhënave personale që lidhen
me të dhe kontrolluesi ka detyrimin të fshijë të dhënat personale sa më shpejt të jetë e mundur, jo
më vonë se 30 (tridhjetë) ditë nga data e marrjes së kërkesës, në këto raste:
a) të dhënat personale nuk janë më të nevojshme për qëllimet për të cilat ato janë mbledhur ose
përpunuar;
b) subjekti i të dhënave e tërheq pëlqimin mbi të cilin bazohet përpunimi dhe nuk ka shkak
tjetër ligjor për përpunimin;
11
c) subjekti i të dhënave e kundërshton përpunimin, në pajtim me pikën 1, të nenit 19, të këtij
ligji dhe nuk ka arsye legjitime mbizotëruese për përpunimin ose subjekti i të dhënave e
kundërshton përpunimin, sipas pikës 2, të nenit 21, të këtij ligji;
ç) të dhënat personale janë përpunuar në mënyrë të paligjshme;
d) të dhënat personale duhet të fshihen për të përmbushur një detyrim ligjor të kontrolluesit;
dh) të dhënat personale janë mbledhur në kuadër të ofrimit në internet të mallrave ose të
shërbimeve, sipas pikës 6, të nenit 8 të këtij ligji.
3. Pikat 1 dhe 2 të këtij neni nuk zbatohen, për aq sa përpunimi është i nevojshëm, për:
a) ushtrimin e lirisë së shprehjes dhe të të drejtës për informim;
b) përmbushjen e një detyrimi ligjor, që kërkon përpunim në zbatim të legjislacionit në fuqi, të
cilit i nënshtrohet kontrolluesi, për përmbushjen e një detyre në interesin publik ose kur atij i është
dhënë e drejta e ushtrimit të një funksioni publik;
c) arsye të interesit publik në fushën e shëndetit publik, në përputhje me shkronjat “ë” dhe “f”,
të pikës 2, të nenit 9 të këtij ligji;
ç) qëllime arkivimi në interesin publik, për qëllime kërkimore, shkencore ose historike, ose për
qëllime statistikore, dhe zbatohet pika 4, e nenit 45 të këtij ligji, për aq sa e drejta për fshirje sipas
pikës 1 të këtij neni mund të bëjë të pamundur ose të dëmtojë seriozisht arritjen e objektivave të
këtij përpunimi; ose
d) paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të drejte, detyrimi apo interesi të
ligjshëm përpara gjykatës ose autoriteteve publike.
4. Kur të dhënat korrigjohen ose fshihen, kontrolluesi informon të gjithë marrësit, të cilëve ua
ka përhapur ato të dhëna. Kur kërkohet nga subjekti i të dhënave, kontrolluesi e informon atë mbi
marrësit e të dhënave personale. Këto detyrime nuk zbatohen vetëm në ato raste kur përmbushja
e tyre është e pamundur ose përbën barrë të tepërt për kontrolluesin.
Neni 16
E drejta për t’u harruar
1. Kur kontrolluesi ka publikuar të dhëna personale dhe sipas nenit 15 të këtij ligji detyrohet t’i
fshijë ato, bazuar në teknologjinë e zbatueshme dhe në koston e zbatimit, ndërmerr hapa të
arsyeshëm, përfshirë masat teknike, për të informuar kontrolluesit që janë duke përpunuar këto të
dhëna personale, që subjekti i të dhënave ka kërkuar fshirjen e çdo lidhjeje, kopjeje ose riprodhimi
të këtyre të dhënave personale.
2. Me kërkesën e subjektit të të dhënave, operatorët e motorëve të kërkimit në internet janë të
detyruar të fshijnë nga rezultatet që shfaqen pas një kërkimi të kryer në bazë të emrit të subjektit të
të dhënave informacionin, i cili nuk është më aktual me kalimin e kohës, por që, kur gjendet, ka një
ndikim negativ të konsiderueshëm në reputacionin e subjektit të të dhënave.
Neni 17
E drejta për kufizimin e përpunimit
1. Subjekti i të dhënave ka të drejtë për kufizimin e përpunimit të të dhënave nga kontrolluesi
kur ekziston një nga rastet e mëposhtme:
a) subjekti i të dhënave kundërshton saktësinë e të dhënave të tij për një afat që i mundëson
kontrolluesit të verifikojë saktësinë e të dhënave personale;
b) përpunimi është i paligjshëm dhe subjekti i të dhënave e kundërshton fshirjen e të dhënave
personale dhe, në vend të saj, kërkon kufizimin e përdorimit të tyre;
c) kontrolluesit nuk i nevojiten më të dhënat personale për qëllimin e përpunimit, por kërkohen
nga subjekti i të dhënave për paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të drejte,
detyrimi apo interesi të ligjshëm përpara gjykatës ose autoriteteve publike; ose
12
ç) subjekti i të dhënave ka kundërshtuar përpunimin, sipas përcaktimeve të pikës 1, të nenit 19
të këtij ligji. Kufizimi zgjat përgjatë periudhës së nevojshme për verifikimin nëse arsyet e ligjshme
të kontrolluesit kanë përparësi mbi ato të subjektit të të dhënave.
2. Kur përpunimi është kufizuar sipas pikës 1 të këtij neni, me përjashtim të ruajtjes, të dhënat
do të përpunohen vetëm:
a) pas marrjes së pëlqimit të subjektit të të dhënave;
b) për paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të drejte, detyrimi apo interesi
të ligjshëm përpara gjykatës, ose autoriteteve publike;
c) për mbrojtjen e të drejtave të një personi tjetër fizik ose juridik, të cilat kanë përparësi mbi të
drejtat e subjektit të të dhënave; ose
ç) për një interes të rëndësishëm publik.
3. Kontrolluesi njofton paraprakisht subjektin e të dhënave për heqjen e kufizimit të përpunimit
të tyre.
4. Nëse kontrolluesi refuzon kërkesën, subjekti i të dhënave mund të paraqesë ankesë te
Komisioneri dhe të kërkojë marrjen e një vendimi paraprak për kufizimin e përpunimit. Nëse është
e nevojshme dhe proporcionale, Komisioneri lëshon urdhër paraprak kufizimi, sipas nenit 83 të
këtij ligji, jo më vonë se 14 ditë nga paraqitja e kërkesës.
5. Kur përpunimi i të dhënave kufizohet, kontrolluesi informon të gjithë marrësit, të cilëve ua
ka përhapur të dhënat në fjalë përpara kufizimit.
Neni 18
E drejta për transferueshmërinë e të dhënave
1. Kur të dhënat personale i jepen një kontrolluesi nga subjekti i të dhënave, me pëlqimin e tij
ose për përmbushjen e një kontrate, dhe përpunimi kryhet me mjete automatike, subjekti i të
dhënave ka të drejtën t’i marrë ato nga kontrolluesi në një format të strukturuar, të përdorur
gjerësisht dhe të lexueshëm nga pajisjet dhe t’i transferojë pa pengesa tek një kontrollues tjetër.
2. Gjatë ushtrimit të së drejtës, sipas pikës 1 të këtij neni, dhe kur është teknikisht e mundur,
subjekti i të dhënave ka të drejtë që të dhënat e tij personale të transferohen drejtpërdrejt nga një
kontrollues tek një kontrollues tjetër.
3. Ushtrimi i së drejtës për transferueshmërinë e të dhënave nuk cenon të drejtën për fshirjen
e tyre, sipas nenit 15 të këtij ligji. E drejta për transferueshmërinë e të dhënave nuk mund të
ushtrohet kur përpunimi i të dhënave është i nevojshëm për kryerjen e një detyre me interes publik
ose kur kontrolluesit i është dhënë e drejta për të ushtruar funksione, detyra ose kompetenca
publike në bazë të legjislacionit në fuqi.
4. Ushtrimi i së drejtës për transferueshmërinë e të dhënave nuk duhet të cenojë të drejtat dhe
liritë themelore të personave të tjerë.
Neni 19
E drejta për të kundërshtuar
1. Subjekti i të dhënave ka të drejtën të kundërshtojë në çdo kohë, për arsye që lidhen me
situatën e tij të veçantë, përpunimin e të dhënave personale në lidhje me të, në bazë të shkronjave
“d” e “dh”, të nenit 7 të këtij ligji, përfshirë profilizimin në bazë të tyre. Kontrolluesi nuk do t’i
përpunojë më të dhënat personale, me përjashtim të rastit kur provon se ka arsye të forta legjitime
për përpunimin, të cilat mbizotërojnë mbi interesat, të drejtat dhe liritë e subjektit të të dhënave,
veçanërisht kur kanë të bëjnë me paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të
drejte, detyrimi, apo interesi të ligjshëm përpara gjykatës, ose autoriteteve publike.
2. Kur të dhënat personale përpunohen për qëllime të marketingut të drejtpërdrejtë, subjekti i
të dhënave ka të drejtë të kundërshtojë, në çdo kohë dhe pa u detyruar të shpjegojë arsyet,
13
përpunimin e të dhënave të tij personale për këtë qëllim, që përfshin profilizimin për aq sa është i
lidhur me të.
3. Pas ushtrimit të së drejtës sipas pikës 2 të këtij neni, kontrolluesi është i detyruar të ndërpresë
përpunimin e të dhënave personale për këtë qëllim.
4. E drejta për të kundërshtuar përpunimin e të dhënave personale për qëllimet e përmendura
në nenin 44 të këtij ligji, kufizohet në ato veprime përpunimi të cilat nuk janë të nevojshme për
kryerjen e një detyre me interes publik.
5. Jo më vonë se gjatë komunikimit të parë me subjektin e të dhënave, kontrolluesi informon
subjektin e të dhënave mbi të drejtën për të kundërshtuar, sipas pikave 1 dhe 2 këtij neni, në mënyrë
të shprehur, të qartë dhe të veçuar nga informacionet e tjera.
6. Nëse të dhënat personale përpunohen për qëllime të kërkimeve shkencore ose historike, ose
për qëllime statistikore, subjekti i të dhënave, për shkaqe që lidhen me gjendjen e tij të veçantë, ka
të drejtë të kundërshtojë përpunimin e të dhënave personale të tij, me përjashtim të rastit kur
përpunimi është i nevojshëm për kryerjen e një detyre me interes publik.
Neni 20
E drejta për të mos iu nënshtruar vendimeve automatike
1. Subjekti i të dhënave ka të drejtë të mos jetë subjekt i një vendimi që bazohet vetëm në
përpunimin automatik të të dhënave, përfshirë profilizimin, i cili shkakton pasoja ligjore ose pasoja
të ngjashme të rënda mbi të.
2. Pika 1 nuk zbatohet nëse vendimi:
a) është i nevojshëm për lidhjen ose zbatimin e një kontrate ndërmjet subjektit të të dhënave
dhe kontrolluesit; ose
b) autorizohet nga një ligj, të cilit i nënshtrohet kontrolluesi dhe që përcakton edhe masat e
përshtatshme për të mbrojtur të drejtat e liritë dhe interesat legjitimë të subjektit të të dhënave; ose
c) bazohet në pëlqimin e dhënë nga subjekti, të cilit i përkasin të dhënat.
3. Përpunimi i të dhënave sensitive për vendimet automatike bëhet me pëlqimin e shprehur
qartë nga subjekti i të dhënave ose duhet të bazohet në një dispozitë ligjore, në përputhje me
shkronjën “e”, të pikës 2, të nenit 9 të këtij ligji, dhe me kusht që të zbatohen masa të përshtatshme
mbrojtëse për të garantuar të drejtat, liritë dhe interesin e ligjshëm të subjektit të të dhënave.
4. Në rastet e përmendura në pikat 2 e 3 të këtij neni, kontrolluesi zbaton masa të përshtatshme
për të mbrojtur të drejtat, liritë themelore dhe interesat e ligjshëm të subjektit të të dhënave, si dhe
të drejtën e subjektit të të dhënave për ndërhyrje manuale nga ana e kontrolluesit për të shprehur
këndvështrimin e tij dhe për të kundërshtuar vendimin.
Seksioni 3
Kufizimet
Neni 21
Kufizimet e të drejtave të subjekteve të të dhënave
1. Fusha e zbatimit të të drejtave të parashikuara në nenet 13–20 të këtij ligji dhe të detyrimeve
që burojnë për kontrolluesit, si dhe neni 6 i këtij ligji, për aq sa dispozitat e tij lidhen me të drejtat
dhe detyrimet e parashikuara në nenet 13–20 të këtij ligji, mund të kufizohen me ligj. Kufizimi
duhet të respektojë thelbin e të drejtave dhe të lirive themelore e të jetë i nevojshëm e proporcional
në një shoqëri demokratike për të garantuar sigurinë kombëtare, sigurinë publike ose interesat
ekonomikë të vendit, për parandalimin e trazirave ose të veprave penale, ose për mbrojtjen e të
drejtave e të lirisë së personave të tjerë.
2. Në veçanti, ligji, sipas pikës 1 të këtij neni, duhet të përmbajë dispozita specifike të paktën,
sipas rastit, lidhur me:
14
a) qëllimet e përpunimit ose kategoritë e përpunimit;
b) kategoritë e të dhënave personale;
c) fushën e veprimit të kufizimeve;
ç) masat mbrojtëse për të parandaluar abuzimin ose aksesin, ose transferimin e paligjshëm;
d) specifikimin e kontrolluesit ose kategoritë e kontrolluesve;
dh) afatet e ruajtjes dhe masat mbrojtëse të zbatueshme, duke marrë parasysh natyrën, fushën
e veprimit e qëllimet për përpunimin ose kategoritë e përpunimit;
e) rreziqet për të drejtat dhe liritë e subjekteve të të dhënave; dhe
ë) të drejtën e subjekteve të të dhënave për t’u informuar në lidhje me kufizimin, përveçse kur
kjo mund të jetë në dëm të qëllimit të kufizimit.
KAPITULLI III
DETYRIMET E KONTROLLUESIT E TË PËRPUNUESIT
Seksioni 1
Përgjegjësia
Neni 22
Përgjegjësia e përgjithshme e kontrolluesit
1. Duke marrë parasysh natyrën, fushën e zbatimit, kontekstin dhe qëllimet e përpunimit, si
dhe mundësinë e shfaqjes e të përshkallëzimit të rrezikut për të drejtat dhe liritë e individit,
kontrolluesi zbaton masat e duhura teknike dhe organizative për të garantuar dhe për të qenë i aftë
të provojë që përpunimi është kryer në përputhje me këtë ligj. Këto masa rishikohen e përditësohen
sipas nevojës.
2. Bazuar në pikën 1 të këtij neni, kontrolluesi merr masa për vënien në zbatim të mbrojtjes së
të dhënave në projektim në proceset e tij përpunuese dhe mbrojtjen e të dhënave në mënyrë të
paracaktuar, në përputhje me këtë nen dhe nenin 23 të këtij ligji. Përcaktimi i një nëpunësi të
mbrojtjes së të dhënave merret në konsideratë pavarësisht kritereve të përcaktuara në nenin 33 të
këtij ligji, veçanërisht kur proceset e përpunimit të kontrolluesit përmbajnë elemente të tjera të
rëndësishme rreziku, përveç atyre të përmendura në pikën 1, të nenit 33 të këtij ligji.
3. Zbatimi i kodit të sjelljes, sipas nenit 35 të këtij ligji ose i mekanizmit të certifikimit, sipas
nenit 37 të këtij ligji, mund të përdoret si një element nëpërmjet të cilit demonstrohet
përputhshmëria me detyrimet e kontrolluesit.
4. Kontrolluesit dhe përpunuesit janë të detyruar të bashkëpunojnë, kur kërkohet nga
Komisioneri, në funksion të kryerjes së detyrave të tij.
Neni 23
Mbrojtja e të dhënave në projektim dhe në mënyrë të paracaktuar
1. Kontrolluesi, si në momentin e përcaktimit të mjeteve të përpunimit, ashtu edhe gjatë
përpunimit, zbaton masat e duhura teknike dhe organizative për zbatimin e masave mbrojtëse të
nevojshme në veprimet e tij të përpunimit, të tilla si: pseudonimizimi i të dhënave të projektuara
për të zbatuar parimet e mbrojtjes së të dhënave personale, siç është minimizimi i të dhënave, në
mënyrë efektive dhe për të integruar masat mbrojtëse të nevojshme në përpunim, në mënyrë që të
plotësohen kërkesat e këtij ligji, si dhe për të mbrojtur të drejtat e subjekteve të të dhënave. Për këtë
qëllim, kontrolluesi merr parasysh zhvillimet teknologjike, kostot e zbatimit, natyrën, objektin,
rrethanat dhe qëllimet e përpunimit, si dhe mundësinë e shfaqjes dhe të përshkallëzimit të rrezikut
për cenimin e të drejtave dhe lirive themelore, që paraqesin veprimet e përpunimit.
2. Kontrolluesi zbaton masat e duhura teknike dhe organizative për të siguruar që në mënyrë
të paracaktuar të përpunohen vetëm të dhënat personale të cilat janë të nevojshme për secilin qëllim
15
specifik të përpunimit. Ky detyrim zbatohet për sasinë e të dhënave personale të mbledhura, për
masën e përpunimit, për periudhën e ruajtjes dhe aksesueshmërinë e tyre. Në veçanti, këto masa
garantojnë që të dhënat personale nuk bëhen të aksesueshme në mënyrë rastësore pa ndërhyrjen e
individit në një numër të pacaktuar personash fizikë.
3. Për të provuar zbatimin e detyrimeve të përcaktuara në pikat 1 e 2 të këtij neni, kontrolluesi
mund të bazohet në një mekanizëm të miratuar certifikimi, sipas nenit 37 të këtij ligji.
Neni 24
Kontrolluesit e përbashkët
1. Kontrolluesit e përbashkët janë dy ose më shumë kontrollues, që përcaktojnë së bashku
qëllimet dhe mjetet e përpunimit. Kontrolluesit e përbashkët përcaktojnë në mënyrë transparente,
nëpërmjet një marrëveshjeje me shkrim, marrëdhënien e krijuar ndërmjet tyre dhe përgjegjësitë e
secilit kontrollues për përmbushjen e detyrimeve që rrjedhin nga ky ligj dhe veçanërisht për sa i
takon ushtrimit të të drejtave të subjektit të të dhënave dhe detyrave përkatëse të kontrolluesve, në
përputhje me kapitullin II të këtij ligji.
2. Pjesa kryesore e marrëveshjes u vihet në dispozicion subjekteve të të dhënave.
3. Marrëveshja mund të përcaktojë një pikë kontakti për subjektet e të dhënave. Pavarësisht
nga kushtet e marrëveshjes, subjekti i të dhënave mund të ushtrojë të drejtat e tij sipas këtij ligji
kundrejt secilit kontrollues.
Neni 25
Përfaqësuesi i kontrolluesit ose përpunuesit
1. Për proceset e përpunimit të përcaktuara në shkronjën “b”, të pikës 1, të nenit 4, të këtij ligji,
kontrolluesi ose përpunuesi cakton një përfaqësues të vendosur në Republikën e Shqipërisë dhe
njofton me shkrim Komisionerin për identitetin e përfaqësuesit.
2. Detyrimi, sipas pikës 1 të këtij neni, nuk zbatohet:
a) për përpunimin që është rastësor, nuk përfshin në masë të madhe përpunimin e të dhënave
sensitive ose të dhënave penale e nuk ka të ngjarë të rezultojë në një rrezik për të drejtat dhe liritë
themelore të personave fizikë, duke marrë parasysh natyrën, kontekstin, objektin dhe qëllimet e
përpunimit; ose
b) ndaj një autoriteti publik.
3. Përfaqësuesi autorizohet nga kontrolluesi ose përpunuesi për t’iu drejtuar, krahas ose në
vend të kontrolluesit ose përpunuesit, veçanërisht, nga Komisioneri dhe subjektet e të dhënave,
për të gjitha çështjet që lidhen me përpunimin, për qëllimet e sigurimit të përputhshmërisë me këtë
ligj.
4. Caktimi i një përfaqësuesi nga kontrolluesi ose përpunuesi nuk pengon ankimin, që mund të
paraqitet ndaj vetë kontrolluesit ose përpunuesit.
Neni 26
Përpunuesi
1. Kur përpunimi kryhet për llogari të një kontrolluesi, kontrolluesi është i detyruar të përdorë
vetëm përpunues që ofrojnë garanci të mjaftueshme për zbatimin e masave të duhura teknike dhe
organizative, në mënyrë që përpunimi të kryhet në përputhje me këtë ligj e të sigurojë mbrojtjen e
të drejtave të subjektit të të dhënave.
2. Përpunuesi nuk angazhon përpunues tjetër pa autorizimin paraprak, specifik ose të
përgjithshëm, me shkrim të kontrolluesit. Në rastin e një autorizimi të përgjithshëm me shkrim,
përpunuesi informon kontrolluesin për çdo ndryshim që synon të kryejë lidhur me shtimin ose
16
zëvendësimin e përpunuesve të tjerë, duke i dhënë kontrolluesit mundësinë e kundërshtimit të
këtyre ndryshimeve.
3. Përpunimi kryhet nga përpunuesi në bazë të një kontrate me shkrim, të një ligji ose akti
nënligjor, i cili është i detyrueshëm për t’u zbatuar nga përpunuesi në raport me kontrolluesin e që
përcakton objektin dhe kohëzgjatjen e përpunimit, natyrën dhe qëllimin e përpunimit, llojin e të
dhënave personale dhe kategoritë e subjekteve të të dhënave, si dhe të drejtat e detyrimet e
kontrolluesit. Kontrata, ligji ose akti nënligjor duhet të përcaktojë se përpunuesi:
a) përpunon dhe, në veçanti, transferon të dhëna personale vetëm sipas udhëzimeve me shkrim
të kontrolluesit, me përjashtim të rastit kur detyrohet ta kryejë atë bazuar në legjislacionin në fuqi,
të cilit i nënshtrohet përpunuesi. Në këtë rast, përpunuesi e informon kontrolluesin për këtë detyrim
ligjor përpara përpunimit, me përjashtim të rastit kur ligji e ndalon dhënien e këtij informacioni për
shkaqe të rëndësishme të interesit publik;
b) siguron që personat e autorizuar për të përpunuar të dhënat personale i nënshtrohen
detyrimit të ruajtjes së konfidencialitetit sipas nenit 30 të këtij ligji dhe akteve të tjera që rregullojnë
veprimtarinë profesionale;
c) merr të gjitha masat e përcaktuara sipas nenit 28 të këtij ligji;
ç) respekton kushtet, sipas pikave 2 dhe 4 të këtij neni, për angazhimin e një përpunuesi tjetër;
d) bazuar në natyrën e përpunimit, ndihmon kontrolluesin me masa të përshtatshme teknike
dhe organizative, për aq sa kjo është e mundur, për përmbushjen e detyrimeve të kontrolluesit për
t’iu përgjigjur kërkesave në ushtrimin e të drejtave të subjektit të të dhënave të përcaktuara në
kapitullin II të këtij ligji;
e) ndihmon kontrolluesin për të garantuar përmbushjen e detyrimeve, që rrjedhin nga kapitulli
III i këtij ligji, në veçanti nga nenet 28 e 29 të këtij ligji, duke marrë parasysh natyrën e përpunimit
dhe informacionin në dispozicion të përpunuesit;
ë) në varësi të udhëzimit të kontrolluesit, fshin ose kthen të gjitha të dhënat personale te
kontrolluesi pas përfundimit të ofrimit të shërbimeve të lidhura me përpunimin dhe fshin kopjet
ekzistuese, nëse ruajtja e të dhënave personale nuk kërkohet me ligj;
f) vendos në dispozicion të kontrolluesit të gjitha informacionet që provojnë përmbushjen e
detyrimeve të përcaktuara në këtë nen, lejon dhe kontribuon në kryerjen e auditimeve dhe të
inspektimeve nga kontrolluesi ose një auditues tjetër i autorizuar nga kontrolluesi, si dhe njofton
menjëherë kontrolluesin kur, sipas mendimit të tij, udhëzimi i dhënë nga kontrolluesi shkel këtë
ligj.
4. Kur përpunuesi angazhon një përpunues tjetër për kryerjen e veprimeve specifike të
përpunimit për llogari të kontrolluesit, atij i ngarkohen detyrimet për mbrojtjen e të dhënave të
përcaktuara në pikën 3 të këtij neni, nëpërmjet një kontrate, ligji ose akti nënligjor, që ofron garanci
të mjaftueshme që përpunimi përmbush kërkesat e këtij ligji. Përpunuesi fillestar mban përgjegjësi
të plotë para kontrolluesit kur përpunuesi tjetër nuk përmbush detyrimet e tij për mbrojtjen e të
dhënave.
5. Zbatimi i kodit të sjelljes, sipas nenit 35 të këtij ligji, ose i mekanizmit të certifikimit, sipas
nenit 37 të këtij ligji, mund të përdoret si një element nëpërmjet të cilit demonstrohen garancitë e
mjaftueshme, të referuara në pikat 1 e 4 të këtij neni.
6. Pa cenuar të drejtën e lirisë kontraktore ndërmjet kontrolluesit dhe përpunuesit, kontrata,
ligji ose akti nënligjor mund të bazohet, tërësisht ose pjesërisht, në klauzola standarde kontraktuale
të përmendura në pikën 7 të këtij neni, përfshirë edhe rastin kur ato janë pjesë e një certifikimi të
dhënë kontrolluesit ose përpunuesit, në përputhje me nenet 37 e 38 të këtij ligji.
7. Komisioneri mund të përcaktojë dhe të publikojë klauzola standarde kontraktuale për
çështjet e përmendura në pikat 3 dhe 4 të këtij neni.
8. Nëse përpunuesi shkel dispozitat e këtij neni, duke përcaktuar qëllimet dhe mjetet e
përpunimit, përpunuesi konsiderohet si kontrollues në lidhje me këtë përpunim.
Neni 27
17
Detyrimi për të dokumentuar
1. Çdo kontrollues dhe, kur është rasti, përfaqësuesi i tij, mban dokumentacion për veprimtaritë
e tij përpunuese në mënyrë që të jetë në gjendje të japë të dhëna lidhur me përputhshmërinë me
këtë ligj. Këto të dhëna mbahen në formë të shkruar dhe në format elektronik. Të dhënat që
mbahen nga kontrolluesit duhet të përmbajnë:
a) emrin dhe të dhënat e kontaktit të kontrolluesit dhe, sipas rastit, të kontrolluesit të
përbashkët, përfaqësuesit të kontrolluesit, si dhe të nëpunësit të mbrojtjes së të dhënave;
b) qëllimet e përpunimit të të dhënave personale;
c) një përshkrim të kategorive të subjekteve të të dhënave dhe kategorive të të dhënave
personale;
ç) kategoritë e marrësve, të cilëve u janë ose do t’u përhapen të dhënat personale, përfshirë
marrësit në vende të treta ose organizata ndërkombëtare;
d) kur është e zbatueshme, transferimet e të dhënave personale tek një shtet i huaj ose
organizatë ndërkombëtare, përfshirë identifikimin e atij shteti të huaj ose organizate ndërkombëtare
dhe, në rastin e transferimeve, sipas shkronjës “b”, të pikës 1, të nenit 41 të këtij ligji, dokumentimin
e masave të përshtatshme mbrojtëse;
dh) nëse është e mundur, afatet kohore të parashikuara për fshirjen e kategorive të ndryshme
të të dhënave;
e) nëse është e mundur, një përshkrim të përgjithshëm të masave teknike dhe organizative të
sigurisë, të zbatuara në ambientet e përpunuesit.
2. Përpunuesi dhe, kur është rasti, përfaqësuesi i tij, mban, në format manual dhe elektronik, të
dhëna të kategorive të veprimtarive të përpunimit që kryen për llogari të një kontrolluesi, që
përmbajnë:
a) emrin dhe të dhënat e kontaktit të përpunuesit dhe, sipas rastit, të nëpunësit të mbrojtjes së
të dhënave;
b) emrin dhe të dhënat e kontaktit të çdo kontrolluesi për llogari të të cilit vepron përpunuesi;
c) emrat dhe të dhënat e kontaktit të nënpërpunuesve të angazhuar për detyra të caktuara;
ç) një përshkrim të kategorive të veprimtarive të përpunimit, të kryera për llogari të çdo
kontrolluesi;
d) kur është e zbatueshme, transferimet e të dhënave personale në një vend të tretë ose në një
organizatë ndërkombëtare, duke përfshirë identifikimin e atij vendi të tretë ose të asaj organizate
ndërkombëtare, si dhe bazën ligjore, në përputhje me nenet 40–42 të këtij ligji, për këtë transferim;
dh) nëse është e mundur, një përshkrim të përgjithshëm të masave teknike dhe organizative të
sigurisë të zbatuara në ambientet e përpunuesit.
3. Kontrolluesi ose përpunuesi i vendos të dhënat në dispozicion të Komisionerit sipas
kërkesës.
4. Detyrimet e përcaktuara në pikat 1 dhe 2 të këtij neni nuk zbatohen për shoqëritë tregtare
ose organizatat që kanë më pak se 250 (dyqind e pesëdhjetë) persona të punësuar, me përjashtim
të rastit kur përpunimi që ato kryejnë mund të rezultojë në një rrezik për të drejtat dhe liritë e
subjekteve të të dhënave, përpunimi nuk është rastësor ose përpunimi përfshin të dhëna sensitive
ose të dhëna penale.
Seksioni 2
Siguria e përpunimit
Neni 28
Masat për të garantuar sigurinë e përpunimit
1. Duke marrë parasysh zhvillimet teknologjike, kostot e zbatimit dhe natyrën, fushën e
zbatimit, kontekstin dhe qëllimet e përpunimit, si dhe mundësinë e shfaqjes e përshkallëzimit të
18
rrezikut për të drejtat dhe liritë e personave fizikë, kontrolluesi dhe përpunuesi zbatojnë masat e
duhura teknike dhe organizative për të siguruar një nivel sigurie të përshtatshëm ndaj rrezikut, duke
përfshirë, ndër të tjera, kur është e zbatueshme:
a) pseudonimizimin dhe enkriptimin e të dhënave personale;
b) aftësinë për të garantuar konfidencialitetin, integritetin, disponueshmërinë dhe
qëndrueshmërinë e sistemeve dhe të shërbimeve të përpunimit;
c) aftësinë për të rivendosur disponueshmërinë dhe aksesin në të dhënat personale brenda një
kohe të arsyeshme në rast incidenti fizik ose teknik;
ç) një proces për testimin, shqyrtimin dhe vlerësimin e rregullt të efikasitetit të masave teknike
dhe organizative për të garantuar sigurinë e përpunimit.
2. Në vlerësimin e nivelit të përshtatshëm të sigurisë merren parasysh veçanërisht rreziqet që
shkaktohen nga përpunimi, specifikisht, nga shkatërrimi aksidental ose i paligjshëm, humbja,
ndryshimi, përhapja e paautorizuar ose aksesi në të dhënat personale të transmetuara, të ruajtura
ose të përpunuara në çfarëdolloj mënyre.
3. Zbatimi i kodit të sjelljes, sipas nenit 35 të këtij ligji, ose i mekanizmit të certifikimit, sipas
nenit 37 të këtij ligji, mund të përdoret si një element nëpërmjet të cilit demonstrohet zbatimi i
pikës 1 të këtij neni.
4. Kontrolluesi dhe përpunuesi marrin masa për të siguruar se çdo person, që vepron nën
autoritetin e kontrolluesit ose të përpunuesit dhe ka akses në të dhënat personale, të mos i
përpunojë ato në kundërshtim me udhëzimet e kontrolluesit, me përjashtim të rastit kur kërkohet
nga legjislacioni në fuqi.
Neni 29
Njoftimi për cenimin e të dhënave personale
1. Në rast të një cenimi të të dhënave personale, kontrolluesi njofton Komisionerin sa më shpejt
të jetë e mundur, por jo më vonë se 72 (shtatëdhjetë e dy) orë pas marrjes dijeni për cenimin.
Njoftimi nuk kryhet kur nuk ka gjasa që cenimi i të dhënave të rrezikojë të drejtat dhe liritë e
subjekteve të të dhënave. Në rast se njoftimi nuk kryhet brenda këtyre afateve, kontrolluesi i
parashtron Komisionerit arsyet që kanë shkaktuar vonesën e njoftimit.
2. Përpunuesi njofton kontrolluesin menjëherë pasi merr dijeni për çdo cenim të të dhënave
personale.
3. Kontrolluesi informon subjektet e të dhënave kur rreziqet e shkaktuara nga cenimi i të
dhënave ndaj të drejtave dhe lirive të tyre ka të ngjarë të jenë të larta, duke i vendosur në dispozicion
informacionin sipas pikës 4 të këtij neni. Kryerja e njoftimit të subjekteve të të dhënave nuk është
e nevojshme kur:
a) kontrolluesi ka zbatuar masa të përshtatshme teknike dhe organizative mbrojtëse, dhe këto
masa janë zbatuar për të dhënat personale të prekura nga cenimi i sigurisë, ku përfshihet enkriptimi;
b) kontrolluesi ka marrë masa shtesë, që sigurojnë se rreziku i cenimit të të drejtave dhe i lirive
themelore të subjekteve të të dhënave është i ulët;
c) kontrolluesi publikon njoftimin ose merr masa të tjera të ngjashme nëpërmjet të cilave
subjektet e të dhënave njoftohen në mënyrë të njëjtë dhe efektive për cenimin e sigurisë së të
dhënave personale, kur njoftimi i çdo subjekti të të dhënave personale përbën një barrë të tepërt
për kontrolluesin.
4. Njoftimi për Komisionerin, sipas pikës 1 të këtij neni, duhet që të paktën:
a) të përshkruajë natyrën e cenimit të të dhënave personale, duke përfshirë, kur është e mundur,
kategoritë dhe numrin e përafërt të subjekteve të të dhënave, si dhe kategoritë dhe numrin e përafërt
të llogarive të të dhënave personale të prekura;
b) të komunikojë emrin dhe të dhënat e kontaktit të nëpunësit të mbrojtjes së të dhënave ose
të pikës tjetër të kontaktit;
c) të përshkruajë pasojat e mundshme të cenimit të të dhënave personale;
19
ç) të përshkruajë masat e marra ose të propozuara për t’u marrë nga kontrolluesi për të trajtuar
cenimin e të dhënave personale, duke përfshirë, sipas rastit, masat për të zbutur efektet e
mundshme negative të tij.
5. Kur i gjithë informacioni i përcaktuar në pikën 3 të këtij neni nuk mund të vendoset në
dispozicion në të njëjtën kohë, ai mund të vendoset në dispozicion në faza të mëvonshme dhe sa
më shpejt të jetë e mundur.
6. Kontrolluesi dokumenton çdo cenim të të dhënave personale, duke përfshirë faktet, efektet
e saj dhe masat korrigjuese të ndërmarra në mënyrë që Komisioneri të verifikojë përputhshmërinë
me këtë nen.
7. Komisioneri i përgjigjet njoftimit në përputhje me kompetencat e tij, sipas pjesës IV të këtij
ligji. Ai mund ta detyrojë kontrolluesin që t’u komunikojë, gjithashtu, subjekteve të të dhënave në
fjalë cenimin e të dhënave personale, kur ka të ngjarë që cenimi të përbëjë një rrezik të lartë për të
drejtat dhe liritë e tyre dhe kur kontrolluesi nuk e ka kryer këtë komunikim.
Neni 30
Konfidencialiteti i të dhënave
1. Çdo person, si kontrollues, përpunues ose punonjës i një kontrolluesi ose përpunuesi, ruan
konfidencialitetin e të dhënave personale, tek të cilat ka pasur akses për arsye profesionale, dhe ua
zbulon ato të tretëve vetëm sipas ligjit dhe, në veçanti, sipas pikës 2 të këtij neni. Ky detyrim
parashikohet në çdo kontratë me një përpunues, sipas nenit 26 të këtij ligji, dhe në të gjitha kontratat
e punës së një kontrolluesi ose përpunuesi.
2. Përpunuesit e angazhuar nga kontrolluesi dhe çdo person që vepron nën autoritetin e
kontrolluesit ose të përpunuesit, i cili ka akses në të dhënat personale, i përpunon ato të dhëna
vetëm sipas udhëzimeve të kontrolluesit apo të përpunuesit të angazhuar prej kontrolluesit, me
përjashtim të rasteve kur përpunimi kërkohet me ligj specifik. Kontrolluesit dhe përpunuesit
përcaktojnë rregulla me shkrim, në lidhje me kompetencën për të dhënë udhëzime për përpunim
dhe ato u bëhen të ditura të gjithë personave të interesuar.
3. Detyrimi për të mbajtur të dhënat konfidenciale në përputhje me pikat 1 e 2 të këtij neni,
vijon përtej përfundimit të afatit të kontratës ndërmjet kontrolluesit dhe përpunuesit, si dhe përtej
ndërprerjes së marrëdhënieve të punës me kontrolluesin ose përpunuesin.
Seksioni 3
Vlerësimi i ndikimit dhe konsultimi paraprak
Neni 31
Vlerësimi i ndikimit në mbrojtjen e të dhënave
1. Kur një lloj përpunimi, veçanërisht përpunimi duke përdorur teknologji të re, bazuar në
natyrën, objektin, kontekstin dhe qëllimet e përpunimit, mund të shkaktojë një rrezik të lartë të
cenimit të të drejtave dhe lirive themelore të individëve, kontrolluesi, përpara se të fillojë
përpunimin, kryen vlerësimin e ndikimit të veprimeve të parashikuara të përpunimit mbi mbrojtjen
e të dhënave personale. Për kategori të ngjashme veprimesh që paraqesin rrezik të ngjashëm është
e mjaftueshme kryerja e vetëm një vlerësimi të përbashkët.
2. Kur kontrolluesi kryen disa veprime të caktuara përpunimi që kërkohen me ligj, i cili
përcakton, gjithashtu, të dhëna për veprimet e përpunimit në fjalë dhe kur është kryer një vlerësim
i ndikimit në kuadër të miratimit të ligjit, nuk është i nevojshëm një vlerësim i mëtejshëm i ndikimit.
3. Vlerësimi i ndikimit përmban të paktën:
a) një përshkrim sistematik të veprimeve të parashikuara të përpunimit dhe të qëllimeve të
përpunimit, duke përfshirë, sipas rastit, llojin e interesit të ligjshëm të kontrolluesit;
20
b) një vlerësim të nevojës dhe të proporcionalitetit të veprimeve të përpunimit në lidhje me
qëllimet;
c) një vlerësim të rreziqeve për të drejtat dhe liritë e subjekteve të të dhënave të përmendura në
pikën 1 të këtij neni; dhe
ç) masat e parashikuara për të trajtuar rreziqet, duke përfshirë masat mbrojtëse, masat dhe
mekanizmat e sigurisë, për të garantuar mbrojtjen e të dhënave personale dhe për të provuar
zbatimin e këtij ligji, duke marrë parasysh të drejtat dhe interesat e ligjshëm të subjekteve të të
dhënave dhe personave të tjerë të interesuar.
4. Kur është caktuar një nëpunës i mbrojtjes së të dhënave, kontrolluesi këshillohet me
nëpunësin kur kryen vlerësimin e ndikimit në mbrojtjen e të dhënave.
5. Kur është e përshtatshme, kontrolluesi kërkon mendimin e subjekteve të të dhënave ose të
përfaqësuesve të tyre për përpunimin e synuar, pa cenuar mbrojtjen e interesave tregtarë ose publikë
apo sigurinë e veprimeve të përpunimit.
6. Kryerja e vlerësimit të ndikimit në mbrojtjen e të dhënave personale kryhet veçanërisht në
rastin e:
a) një vlerësimi sistematik dhe të thelluar të aspekteve personale në lidhje me personat, i cili
bazohet në përpunimin automatik, duke përfshirë profilizimin dhe mbi të cilin bazohen vendime
që shkaktojnë pasoja ligjore ose pasoja të ngjashme të rëndësishme në lidhje me personin;
b) përpunimit në një shkallë të gjerë të të dhënave sensitive ose të të dhënave penale; ose
c) një monitorimi sistematik të një zone të aksesueshme nga publiku në një shkallë të gjerë.
7. Komisioneri harton listat me llojet e veprimeve të përpunimit për të cilat duhet të kryhet
vlerësimi i ndikimit në mbrojtjen e të dhënave e për të cilat nuk duhet të kryhet ky vlerësim dhe e
publikon atë në faqen zyrtare të internetit.
8. Në vlerësimin e ndikimit të veprimeve të përpunimit të kryera nga kontrolluesi ose
përpunuesi merret parasysh zbatimi i kodeve të sjelljes, sipas nenit 45 të këtij ligji, veçanërisht për
qëllimet e vlerësimit të ndikimit të mbrojtjes së të dhënave.
9. Nëse është e nevojshme, kontrolluesi kryen një rishikim për të vlerësuar nëse përpunimi
kryhet në përputhje me vlerësimin e ndikimit mbi mbrojtjen e të dhënave, kur ndryshon rreziku që
vjen nga veprimet e përpunimit.
Neni 32
Konsultimi paraprak
1. Nëse pas vlerësimit të ndikimit në mbrojtjen e të dhënave arrihet në përfundimin se në
mungesë të masave që zvogëlojnë ose eliminojnë rrezikun përpunimi përbën rrezik të lartë për
cenimin e të drejtave dhe të lirive themelore, përpara se të fillojë përpunimin, kontrolluesi kërkon
mendimin e Komisionerit.
2. Kur vlerëson se përpunimi i synuar do të shkelte këtë ligj dhe veçanërisht kur kontrolluesi
nuk ka identifikuar dhe nuk ka marrë masat e duhura për të zvogëluar ose eliminuar rreziqet,
Komisioneri i jep me shkrim kontrolluesit mendimin e tij dhe mund të ushtrojë kompetencat sipas
nenit 83 të këtij ligji.
3. Komisioneri jep mendimin e tij sa më shpejt të jetë e mundur, por jo më vonë se 60
(gjashtëdhjetë) ditë nga marrja e kërkesës për mendim. Në varësi të kompleksitetit të përpunimit të
synuar, Komisioneri mund të vendosë zgjatjen e këtij afati me jo më shumë se 45 (dyzet e pesë)
ditë. Vendimi i arsyetuar për zgjatjen e afatit i njoftohet kontrolluesit brenda 30 (tridhjetë) ditëve
nga data e marrjes së kërkesës për mendim. Kur gjatë procesit të këshillimit Komisioneri ka kërkuar
informacion nga kontrolluesi, afatet pezullohen deri në marrjen e informacionit.
4. Në kërkesën për mendim, kontrolluesi i vendos në dispozicion Komisionerit informacione,
në veçanti për:
21
a) sipas rastit, përgjegjësitë përkatëse të kontrolluesit, të kontrolluesve të përbashkët dhe të
përpunuesve të përfshirë në përpunim, veçanërisht për përpunimin brenda një grupi shoqërish
tregtare;
b) qëllimet dhe mjetet e përpunimit të synuar;
c) natyrën dhe efektet e rreziqeve të dyshuara;
ç) masat dhe garancitë e parashikuara për të mbrojtur të drejtat dhe liritë e subjekteve të të
dhënave në përputhje me këtë ligj;
d) të dhënat e kontaktit të nëpunësit të mbrojtjes së të dhënave;
dh) çdo informacion tjetër të kërkuar nga Komisioneri.
5. Pavarësisht pikës 1 të këtij neni, kontrolluesit duhet të konsultohen dhe të marrin autorizim
paraprak nga Komisioneri për përpunimin që duhet të kryhet nga kontrolluesi për kryerjen e një
detyre, që përmbushet nga kontrolluesi në interesin publik, duke përfshirë përpunimin në lidhje
me mbrojtjen sociale dhe shëndetin publik.
Seksioni 4
Nëpunësi i mbrojtjes së të dhënave
Neni 33
Detyrimi për të caktuar një nëpunës të mbrojtjes së të dhënave
1. Kontrolluesi dhe përpunuesi caktojnë një nëpunës të mbrojtjes së të dhënave, kur:
a) përpunimi kryhet nga një autoritet ose organ publik, me përjashtim të gjykatave, në kuadër
të veprimtarisë gjyqësore;
b) aktivitetet kryesore të kontrolluesit ose të përpunuesit janë veprime përpunimi, të cilat, për
shkak të natyrës, fushës së zbatimit ose qëllimeve të tyre, kërkojnë monitorim të rregullt e sistematik
të subjekteve të të dhënave në një shkallë të gjerë; ose
c) aktivitetet kryesore të kontrolluesit ose të përpunuesit sjellin përpunimin në një shkallë të
gjerë të të dhënave sensitive ose të dhënave penale.
2. Një grup shoqërish tregtare mund të caktojë një nëpunës të vetëm të mbrojtjes së të dhënave,
i cili është lehtësisht i arritshëm nga secili anëtar i grupit. Kur kontrolluesi ose përpunuesi është një
autoritet publik, mund të caktohet një nëpunës i vetëm për disa autoritete publike, bazuar në
strukturën dhe përmasat e tij organizative.
3. Në raste të ndryshme nga ato të parashikuara në pikën 1 të këtij neni, kontrolluesi,
përpunuesi, shoqatat apo organet e tjera përfaqësuese të një kategorie kontrolluesish ose
përpunuesish mund ose, kur parashikohet nga ligji, duhet të caktojnë një nëpunës për mbrojtjen e
të dhënave.
Neni 34
Detyrat dhe pozicioni i nëpunësit të mbrojtjes së të dhënave personale
1. Nëpunësi i mbrojtjes së të dhënave personale ka detyrat e mëposhtme:
a) jep këshilla, kur kërkohet, për organet drejtuese të kontrolluesit ose përpunuesit në të gjitha
çështjet që lidhen me mbrojtjen e të dhënave;
b) merr pjesë në aktivitetet e vlerësimit të ndikimit sipas nenit 31 të këtij ligji;
c) informon dhe këshillon stafin e kontrolluesit ose të përpunuesit në lidhje me mbrojtjen e të
dhënave, duke përfshirë rritjen e ndërgjegjësimit dhe trajnimin e stafit të përfshirë në veprimet e
përpunimit;
ç) monitoron përputhshmërinë me këtë ligj, me dispozita të tjera në fuqi për mbrojtjen e të
dhënave personale dhe me politikat e kontrolluesit ose përpunuesit në lidhje me mbrojtjen e të
dhënave personale, duke përfshirë caktimin e përgjegjësive, ndërgjegjësimin dhe trajnimin e stafit
të përfshirë në veprimet e përpunimit dhe auditimet përkatëse;
22
d) bashkëpunon dhe shërben si pikë kontakti për Komisionerin;
dh) gjatë ushtrimit të detyrave të tij dhe bazuar në natyrën, objektin, rrethanat dhe qëllimet e
përpunimit, i kushton kujdesin e duhur rrezikut për cenimin e të drejtave dhe lirive themelore, që
mund të shkaktohet nga përpunimi i të dhënave personale.
2. Nëpunësi i mbrojtjes së të dhënave caktohet në bazë të aftësive profesionale të certifikuara
dhe, në veçanti, në bazë të njohurive të mira të ligjit dhe praktikave të mbrojtjes së të dhënave, si
dhe të aftësisë për të përmbushur detyrat e përmendura në pikën 1 të këtij neni. Nëpunësi i
mbrojtjes së të dhënave mund të jetë një person i punësuar pranë kontrolluesit ose përpunuesit,
ose një person me të cilin është lidhur një kontratë shërbimi. Nëpunësi i mbrojtjes së të dhënave
personale mund të mbajë përgjegjësi dhe detyra të tjera, por kontrolluesi ose përpunuesi merr
masat që këto përgjegjësi dhe detyra të mos shkaktojnë konflikt interesi me detyrën si nëpunës i
mbrojtjes së të dhënave.
3. Kontrolluesi ose përpunuesi publikon të dhënat e kontaktit të nëpunësit të mbrojtjes së të
dhënave, si dhe ia njofton ato Komisionerit. Subjektet e të dhënave mund të kontaktojnë nëpunësin
e mbrojtjes së të dhënave për të gjitha çështjet që lidhen me përpunimin e të dhënave të tyre
personale dhe ushtrimin e të drejtave të tyre sipas këtij ligji.
4. Kontrolluesi dhe përpunuesi marrin masat që nëpunësi i mbrojtjes së të dhënave të
përfshihet, në mënyrën dhe në kohën e duhur, në të gjitha çështjet që lidhen me mbrojtjen e të
dhënave personale dhe të ketë burimet e nevojshme për të përmbushur detyrat e tij. Nëpunësi i
mbrojtjes së të dhënave i nënshtrohet detyrimit të ruajtjes së sekretit dhe të konfidencialitetit në
lidhje me kryerjen e detyrave të tij.
5. Kontrolluesi dhe përpunuesi marrin masat që nëpunësi i mbrojtjes së të dhënave të mos
marrë udhëzime në lidhje me ushtrimin e detyrave të tij dhe që të mos shkarkohet ose të ndëshkohet
nga kontrolluesi, ose përpunuesi për shkak të kryerjes së detyrave sipas këtij ligji. Nëpunësi i
mbrojtjes së të dhënave raporton drejtpërdrejt para nivelit më të lartë drejtues të kontrolluesit ose
të përpunuesit.
6. Nëpunësit për mbrojtjen e të dhënave mund të organizojnë Rrjetin e Nëpunësve për
Mbrojtjen e të Dhënave Personale. “Rrjeti” organizohet dhe funksionon në bashkërendim me
Komisionerin. Trajnimi i tyre realizohet nga Shkolla Shqiptare e Administratës Publike, nga
institucione të arsimit të lartë vendase/të huaja ose organizma ndërkombëtarë profesionalë me
fokus mbrojtjen e të dhënave personale.
Seksioni 5
Kodet e sjelljes dhe certifikimi
Neni 35
Kodet e sjelljes
1. Shoqatat dhe organet e tjera, që përfaqësojnë kategori ose degë të kontrolluesve ose të
përpunuesve, mund të hartojnë kode sjelljeje, me qëllim specifikimin e zbatimit të këtij ligji, për:
a) përpunimin e drejtë dhe transparent;
b) interesat legjitimë të kontrolluesit në kontekste specifike;
c) mbledhjen e të dhënave personale;
ç) pseudonimizimin e të dhënave personale;
d) informacionin e dhënë për publikun dhe subjektet e të dhënave;
dh) ushtrimin e të drejtave të subjekteve të të dhënave;
e) informacionin e dhënë, mbrojtjen e të miturit dhe mënyrën në të cilën duhet të merret pëlqimi
nga kujdestari ligjor i të miturit;
ë) masat dhe procedurat sipas neneve 22 e 23, si dhe masat për të garantuar sigurinë e
përpunimit, sipas nenit 28 të këtij ligji;
f) njoftimin e Komisionerit dhe të subjekteve të të dhënave për cenimin e të dhënave personale;
23
g) transferimin e të dhënave personale në vendet e huaja ose në organizatat ndërkombëtare;
ose
gj) zgjidhjen në rrugë jashtëgjyqësore të mosmarrëveshjeve ndërmjet kontrolluesve dhe
subjekteve të të dhënave, lidhur me përpunimin pa cenuar të drejtat e subjekteve të të dhënave për
të paraqitur ankesë te Komisioneri, në përputhje me pjesën V të këtij ligji.
2. Kodi i sjelljes përmban mekanizma që e lejojnë organin monitorues të kryejë, pa cenuar
detyrat dhe kompetencat e Komisionerit, mbikëqyrjen e përpunimit, monitorimin e detyrueshëm
të përputhshmërisë me dispozitat e kodit, nga kontrolluesit ose përpunuesit, të cilët kanë marrë
përsipër ta zbatojnë atë.
3. Shoqatat apo organet e tjera përfaqësuese i paraqesin projektkodin dhe çdo propozim për
ndryshimin e tij Komisionerit, i cili e miraton atë kur konstaton se kodi ofron masa të përshtatshme
mbrojtëse të mjaftueshme.
4. Pasi kodi miratohet nga Komisioneri, hartuesi propozon njërin nga organet monitoruese, të
akredituara nga Komisioneri, sipas nenit 36 të këtij ligji, për monitorimin e zbatimit të tij. Kodi
zbatohet pasi Komisioneri emëron organin monitorues.
5. Komisioneri regjistron e publikon në faqen zyrtare të internetit kodet e miratuara së bashku
me organet e përcaktuara të monitorimit.
Neni 36
Organet monitoruese
1. Një subjekt i së drejtës private mund të akreditohet nga Komisioneri për monitorimin e
përputhshmërisë me kodin e sjelljes kur:
a) provon pavarësinë dhe ekspertizën e tij në lidhje me çështjen, objekt rregullimi nga kodi, në
mënyrë të kënaqshme për Komisionerin;
b) përcakton procedurat për vlerësimin e aftësisë së kontrolluesve dhe të përpunuesve për të
zbatuar kodin e sjelljes, monitorimin e përputhshmërisë së veprimtarisë së tyre me dispozitat e
kodit dhe për të rishikuar në mënyrë të vazhdueshme funksionimin e tij;
c) përcakton procedura dhe struktura përgjegjëse për të shqyrtuar ankesat për shkelje të kodit
ose të mënyrës sesi është zbatuar ose po zbatohet kodi nga një kontrollues apo përpunues, si dhe
për të bërë transparente për subjektet e të dhënave dhe publikun këto procedura dhe struktura; dhe
ç) provon që përgjegjësitë dhe detyrat e tij nuk shkaktojnë konflikt interesash.
2. Komisioneri përcakton me udhëzim kriteret për akreditim si organ monitorues.
3. Pa cenuar detyrat dhe kompetencat e Komisionerit, organi monitorues, në përputhje me
masat e duhura mbrojtëse, merr masa të përshtatshme në rastet e shkeljes së kodit nga një
kontrollues ose përpunues, i cili ka marrë përsipër t’i përmbahet kodit, përfshirë pezullimin ose
përjashtimin e kontrolluesit, ose të përpunuesit nga kodi. Organi monitorues informon
Komisionerin për këto masa dhe për arsyet që çuan në ndërmarrjen e tyre. Komisioneri mund t’i
anulojë këto masa në çdo kohë.
4. Komisioneri shfuqizon akreditimin, kur organi monitorues nuk ka përmbushur ose nuk
përmbush më kushtet për akreditim ose nëse masat e marra prej tij përbëjnë shkelje të këtij ligji.
5. Ky nen nuk zbatohet nëse përpunimi kryhet nga një autoritet publik.
Neni 37
Certifikimi
1. Komisioneri përcakton, me udhëzim, kriteret e përgjithshme të kërkuara për certifikimin dhe
për dhënien e vulave dhe të shenjave të mbrojtjes së të dhënave. Këto instrumente provojnë se
veprimi i përpunimit ose të gjitha veprimet e përpunimit të një kontrolluesi ose përpunuesi e kanë
kaluar procesin e certifikimit. Vulat dhe shenjat e mbrojtjes së të dhënave shërbejnë që kontrolluesit
dhe përpunuesit të jenë në gjendje të demonstrojnë përputhshmërinë me këtë ligj.
24
2. Kërkesa për certifikim bëhet nga vetë subjekti dhe certifikimi jepet përmes një procesi
transparent. Kontrolluesi ose përpunuesi, i cili paraqet veprimet e përpunimit për certifikim, i ofron
organit të certifikimit, të përmendur në nenin 38 të këtij ligji, të gjithë informacionin dhe aksesin
në veprimtaritë e përpunimit, të cilat janë të nevojshme për kryerjen e procedurës së certifikimit.
3. Pa cenuar kompetencat e Komisionerit dhe pasi ai të jetë informuar nga organi certifikues,
me qëllim që të ushtrojë kompetencat e veta, procesi i përpunimit që do të certifikohet, kontrollohet
nga organizmi certifikues nëse përmbush të gjitha kërkesat e mekanizmit të certifikimit të miratuar
nga Komisioneri në kuadër të akreditimit të organizmit certifikues, në përputhje me nenin 38 të
këtij ligji. Marrja e certifikimit në përputhje me këtë nen konfirmon që procesi i përpunimit i
certifikuar kryhet në përputhje me një mekanizëm certifikimi të miratuar nga Komisioneri.
4. Vulat dhe shenjat e mbrojtjes së të dhënave mund të përdoren vetëm nga ata kontrollues ose
përpunues që kanë marrë certifikimin e duhur për proceset e përpunimit.
5. Certifikimi nuk përjashton ose kufizon përgjegjësinë e kontrolluesit ose të përpunuesit për
zbatimin e këtij ligji dhe as detyrat e kompetencat e Komisionerit.
6. Certifikimi që i lëshohet kontrolluesit ose përpunuesit është i vlefshëm për jo më shumë se
tre vjet dhe mund të rinovohet sipas të njëjtave kushteve nëse plotësohen kriteret e përcaktuara.
Certifikimi shfuqizohet nga organizmi përgjegjës i certifikimit kur nuk janë plotësuar ose nuk
plotësohen më kriteret për certifikim.
7. Organizmat e certifikimit i japin Komisionerit arsyet për dhënien ose shfuqizimin e një
certifikimi.
Neni 38
Organizmat e certifikimit
1. Certifikimi mund të jepet vetëm nga organizmat e certifikimit, të cilët janë akredituar nga
Drejtoria e Përgjithshme e Akreditimit në përputhje me këtë ligj, si dhe me ligjin nr. 116/2014,
“Për akreditimin e organeve të vlerësimit të konformitetit në Republikën e Shqipërisë”. Akreditimi
jepet nëse organizmi që paraqet kërkesën plotëson kriteret e përcaktuara në pikën 2 të këtij neni, si
dhe kriteret shtesë, të cilat përcaktohen me udhëzim të Komisionerit. Akreditimi lëshohet për një
afat maksimal prej 5 (pesë) vjetësh dhe mund të rinovohet me të njëjtat kushte si akreditimi fillestar.
2. Një organizëm certifikues duhet:
a) të ketë nivelin e duhur të njohurive në lidhje me trajtimin e certifikimit, të vulave ose shenjave,
si dhe në lidhje me zbatimin e mbrojtjes së të dhënave për lëndën, objekt certifikimi;
b) të provojë pavarësi dhe të angazhohet në ushtrimin e përgjegjësive dhe detyrave të tij në një
mënyrë që nuk shkakton konflikt interesi;
c) të paraqesë një mekanizëm certifikimi, që konsiston në dokumentimin e kritereve dhe të
procedurave, që do të zbatohen për vlerësimin e proceseve të përpunimit dhe lëshimin, rishikimin
periodik e shfuqizimin e certifikimit të mbrojtjes së të dhënave, vulave dhe shenjave;
ç) të angazhohet për të respektuar kriteret e certifikimit, të përcaktuara me udhëzim të
Komisionerit, në përputhje me pikën 1, të nenit 37 të këtij ligji, dhe mekanizmin e certifikimit, të
miratuar nga Komisioneri në kuadër të akreditimit të organizmit certifikues;
d) të përcaktojë procedura dhe strukturat përgjegjëse për të shqyrtuar ankesat për shkeljen e
procedurës së certifikimit ose mënyrën sesi është zbatuar, ose po zbatohet certifikimi nga
kontrolluesi ose përpunuesi, si dhe për të bërë transparente për subjektet e të dhënave dhe publikun
këto procedura dhe struktura.
3. Organizmat e certifikimit janë përgjegjës për vlerësimin e duhur të kritereve për dhënien e
certifikimit ose të shfuqizimit të tij, pavarësisht përgjegjësisë së kontrolluesit ose të përpunuesit për
zbatimin e këtij ligji.
4. Drejtoria e Përgjithshme e Akreditimit, bazuar në propozimin e Komisionerit, shfuqizon
akreditimin e një organizmi certifikues kur nuk janë plotësuar ose nuk plotësohen më kushtet dhe
kriteret për akreditim ose nëse masat e marra nga organi certifikues shkelin këtë ligj.
25
KAPITULLI IV
TRANSFERIMI NDËRKOMBËTAR I TË DHËNAVE
Neni 39
Parime të përgjithshme
1. Transferimi i të dhënave personale, të cilat janë në proces përpunimi ose që do të përpunohen
pas transferimit, në një vend të huaj ose në një organizatë ndërkombëtare, si dhe transferimi i
mëtejshëm i të dhënave personale nga një shteti i huaj ose organizatë ndërkombëtare tek një shtet
i huaj ose organizatë ndërkombëtare tjetër, kryhet vetëm nëse garantohet mbrojtja e mjaftueshme
e të dhënave në destinacion, ose ajo sigurohet posaçërisht për atë transferim në përputhje me këtë
kapitull. Të gjitha dispozitat e këtij kapitulli zbatohen në mënyrë që të sigurohet se niveli i mbrojtjes
së të dhënave personale, i garantuar nga ky ligj, nuk cenohet nga transferimi ndërkombëtar i të
dhënave.
2. Vendimet e gjykatave, si dhe vendimet e organeve administrative të një shteti të huaj, që
përcaktojnë detyrimin për një kontrollues ose përpunues që të transferojë ose të përhapë të dhëna
personale, mund të njihen ose të zbatohen vetëm nëse bazohen në një marrëveshje ndërkombëtare,
siç mund të jetë një traktat për ndihmë të ndërsjellë juridike në fuqi ndërmjet shtetit të huaj kërkues
dhe Republikës së Shqipërisë, pa cenuar kriteret e tjera për transferim të parashikuara në këtë
kapitull.
Neni 40
Transferimi i të dhënave në bazë të vendimit të përshtatshmërisë
1. Transferimi i të dhënave personale drejt vendeve të huaja ose organizatave ndërkombëtare
lejohet kur marrësi ndodhet në një shtet, territor ose bën pjesë në një ose më shumë sektorë të
caktuar brenda shtetit të huaj ose në një organizatë ndërkombëtare, që siguron nivel të mjaftueshëm
të mbrojtjes së të dhënave sipas pikës 2 të këtij neni.
2. Niveli i mbrojtjes së të dhënave personale për një shtet, territor apo sektor të caktuar apo për
një organizatë ndërkombëtare përcaktohet me vendim të Komisionerit, që publikohet në përputhje
me pikën 1, të nenit 85 të këtij ligji.
3. Niveli i mbrojtjes së të dhënave personale në një shtet të huaj ose organizatë ndërkombëtare
përcaktohet duke marrë parasysh:
a) ekzistencën dhe zbatimin e legjislacionit në fushën e mbrojtjes së të dhënave;
b) të gjitha rrethanat që lidhen me sundimin e ligjit dhe respektimin e të drejtave të njeriut dhe
të lirive themelore;
c) legjislacionin ekzistues dhe zbatimin e tij në fushat e sigurisë kombëtare dhe të rendit publik,
duke përfshirë të drejtën penale;
ç) fushën e mbrojtjes së të dhënave, veçanërisht ekzistencën e një sistemi efektiv për
parashikimin dhe zbatimin e të drejtave të subjekteve të të dhënave, duke përfshirë ekzistencën
dhe funksionimin efektiv të një ose më shumë autoriteteve mbikëqyrëse të pavarura në një vend të
tretë ose të cilit i nënshtrohet një organizatë ndërkombëtare, i pajisur me përgjegjësi për të siguruar
e zbatuar rregullat e mbrojtjes së të dhënave, duke përfshirë kompetenca të përshtatshme për
zbatimin e tyre, për të asistuar dhe ndihmuar subjektet e të dhënave në ushtrimin e të drejtave të
tyre dhe për bashkëpunimin me autoritetet mbikëqyrëse të shteteve të tjera, si dhe mjeteve efektive
administrative dhe ligjore; dhe
d) angazhimet ndërkombëtare të shtetit ose të organizatës ndërkombëtare, anëtarësimin në
instrumente të së drejtës ndërkombëtare dhe detyrimet që rrjedhin prej tyre, si dhe pjesëmarrjen
në sisteme shumëpalëshe ose rajonale, veçanërisht në lidhje me mbrojtjen e të dhënave personale.
26
4. Komisioneri monitoron zhvillimet në ato vende ose organizata ndërkombëtare, të cilat janë
vlerësuar me nivel të mjaftueshëm mbrojtjeje të të dhënave personale dhe rishikon vendimet e tij
në përputhje me rrethanat përkatëse.
Neni 41
Transferimi i të dhënave në mungesë të një vendimi të përshtatshmërisë
1. Në mungesë të një vendimi për përshtatshmërinë, një kontrollues ose përpunues mund t’i
transferojë të dhënat personale drejt një vendi të tretë ose një organizate ndërkombëtare vetëm
nëse ai siguron masa të përshtatshme mbrojtëse dhe me kusht që të drejtat e zbatueshme të subjektit
të të dhënave dhe mjetet juridike efektive për subjektet e të dhënave janë të disponueshme. Masat
e përshtatshme mbrojtëse mund të parashikohen pa kërkuar ndonjë autorizim specifik nga një
autoritet mbikëqyrës nga:
a) një instrument ligjërisht i detyrueshëm dhe i zbatueshëm ndërmjet autoriteteve ose organeve
publike;
b) rregulla të detyrueshme të grupit të shoqërive tregtare të miratuara nga Komisioneri;
c) klauzola standarde për mbrojtjen e të dhënave, të publikuara nga Komisioneri;
ç) një kod sjelljeje, të miratuar nga Komisioneri, së bashku me angazhimet detyruese dhe të
zbatueshme të marrësit në një vend pa mbrojtje të përshtatshme të të dhënave ose pranë
organizatës ndërkombëtare, për të zbatuar masat mbrojtëse të përshtatshme, duke përfshirë të
drejtat e subjekteve të të dhënave; ose
d) një mekanizëm certifikimi, i miratuar nga Komisioneri, së bashku me angazhimet detyruese
dhe të zbatueshme të marrësit në një vend pa mbrojtje të përshtatshme të të dhënave ose pranë
organizatës ndërkombëtare për të zbatuar masat mbrojtëse të përshtatshme, duke përfshirë të
drejtat e subjekteve të të dhënave.
2. Në varësi të autorizimit nga Komisioneri, masat e përshtatshme mbrojtëse mund të
parashikohen, gjithashtu, në veçanti, nga:
a) klauzola kontraktuale ndërmjet kontrolluesit ose përpunuesit dhe kontrolluesit, përpunuesit
ose marrësit të të dhënave personale në vendin e tretë, ose në organizatën ndërkombëtare; ose
b) dispozitat që do të futen në marrëveshjet administrative ndërmjet autoriteteve ose organeve
publike, të cilat përfshijnë të drejta të zbatueshme dhe efektive të subjektit të të dhënave.
3. Në mungesë të një vendimi të përshtatshmërisë ose të masave të përshtatshme mbrojtëse në
përputhje me pikën 1 të këtij neni, duke përfshirë rregullat detyruese të grupit të shoqërive tregtare,
një transferim ose një grup transferimesh i të dhënave personale në një vend të tretë ose një
organizatë ndërkombëtare do të bëhet vetëm nëse zbatohet njëri nga kushtet e mëposhtme:
a) subjekti i të dhënave ka dhënë pëlqimin e informuar dhe të qartë për transferimin
ndërkombëtar të të dhënave të propozuar, pasi është informuar qartësisht për rreziqet e
transferimit;
b) transferimi është i nevojshëm për zbatimin e një kontrate ndërmjet subjektit të të dhënave
dhe kontrolluesit, për zbatimin e masave parakontraktore, të ndërmarra me kërkesë të subjektit të
të dhënave ose transferimi është i nevojshëm për lidhjen, ose zbatimin e një kontrate ndërmjet
kontrolluesit dhe një pale të tretë, në interes të subjektit të të dhënave;
c) përpunimi është i nevojshëm për të mbrojtur interesat jetikë të subjektit të të dhënave ose të
një personi tjetër fizik kur subjekti i të dhënave është fizikisht i pamundur për të dhënë pëlqimin,
ose kur e drejta për të vepruar është hequr ose kufizuar;
ç) transferimi është i nevojshëm për shkak të një interesi të rëndësishëm publik;
d) përpunimi është i nevojshëm për paraqitjen e një kërkese ose ushtrimin, ose mbrojtjen e një
të drejte, të një detyrimi ose të një interesi të ligjshëm përpara një gjykate, ose autoriteti publik;
dh) transferimi bëhet nga një regjistër që sipas ligjit është i hapur për konsultim dhe i jep
informacion publikut të gjerë, me kusht që transferimi të përfshijë vetëm informacione të caktuara
dhe jo ndarje të tëra të regjistrit.
27
4. Kur një transferim nuk mund të bazohet në një dispozitë në nenin 40 të këtij ligji, ose në
pikën 1 të këtij neni, duke përfshirë dispozitat për rregullat e detyrueshme të grupit të shoqërive
tregtare dhe asnjë nga përjashtimet për një situatë specifike, të përmendur në shkronjën “a”, të
pikës 2 të këtij neni, nuk është i zbatueshëm, një transferim në një vend të tretë ose një organizatë
ndërkombëtare mund të bëhet vetëm nëse transferimi nuk është i përsëritur, ka të bëjë vetëm me
një numër të kufizuar subjektesh të të dhënave, është i nevojshëm për qëllimet e interesave legjitimë
të ndjekur nga kontrolluesi, që nuk mbizotërojnë mbi interesat ose të drejtat dhe liritë e subjektit
të të dhënave dhe kontrolluesi ka vlerësuar të gjitha rrethanat, që lidhen me transferimin e të
dhënave dhe mbi bazën e këtij vlerësimi ka ofruar garanci të përshtatshme në lidhje me mbrojtjen
e të dhënave personale. Kontrolluesi informon Komisionerin për transferimin. Kontrolluesi,
përveç dhënies së informacionit të përmendur në nenet 13 e 14 të këtij ligji, informon subjektin e
të dhënave për transferimin dhe për interesat e ligjshëm bindës të ndjekur.
5. Shkronjat “a” dhe “b”, të pikës 3 dhe pika 4 të këtij neni, nuk zbatohen për aktivitetet e kryera
nga autoritetet publike në ushtrimin e funksioneve, të detyrave ose të kompetencave të tyre publike.
Neni 42
Rregullat e detyrueshme të grupit të shoqërive tregtare
1. Komisioneri mund të miratojë rregulla të detyrueshme të shoqërive tregtare, të cilat
përcaktojnë rregulla për përpunimin e të dhënave personale brenda grupit të shoqërive tregtare ose
grupit të tregtarëve dhe të shoqërive tregtare, që kryejnë aktivitet të përbashkët ekonomik, nëse
këto rregulla përmbushin kërkesat e mëposhtme:
a) janë të detyrueshme dhe zbatohen nga çdo anëtar i grupit të shoqërive tregtare ose grupit të
tregtarëve dhe të shoqërive tregtare, që kryejnë aktivitet të përbashkët ekonomik, përfshirë
punonjësit e tyre;
b) parashikojnë shprehimisht të drejta për subjektet e të dhënave në lidhje me përpunimin e të
dhënave të tyre personale; dhe
c) përmbajnë përcaktimet sipas pikës 2 të këtij neni.
2. Rregullat e detyrueshme të grupit të shoqërive tregtare duhet të përcaktojnë të paktën:
a) strukturën dhe të dhënat e kontaktit të grupit të shoqërive tregtare ose të grupit të tregtarëve
dhe të shoqërive tregtare, që kryejnë aktivitet të përbashkët ekonomik dhe të secilit prej anëtarëve
të tij;
b) transferimet e të dhënave ose grupin e transferimeve, përfshirë kategoritë e të dhënave
personale, llojin e përpunimit dhe qëllimet e tij, llojin e subjekteve të të dhënave të përfshira dhe
vendin, vendet e huaja ose organizatat ndërkombëtare në fjalë;
c) natyrën detyruese të rregullave të grupit të shoqërive tregtare, si të atyre të brendshme dhe të
jashtme;
ç) zbatimin e parimeve të përgjithshme të mbrojtjes së të dhënave, siç përcaktohet në nenin 6
të këtij ligji;
d) të drejtat e subjekteve të të dhënave lidhur me përpunimin dhe mjetet për t’i ushtruar ato,
duke përfshirë të drejtën për të mos iu nënshtruar vendimeve, bazuar vetëm në përpunim
automatik, duke përfshirë profilizimin, të drejtën për të paraqitur një ankim tek autoriteti
kompetent mbikëqyrës dhe para gjykatave kompetente, në përputhje me nenin 88 të këtij ligji, të
drejtën për korrigjim dhe, sipas rastit, kompensimin për një shkelje të rregullave detyruese të
brendshme;
dh) pranimin nga kontrolluesit ose përpunuesit e vendosur në Republikën e Shqipërisë, pjesë
e grupit të shoqërive tregtare, të përgjegjësisë ndaj subjekteve të të dhënave në Republikën e
Shqipërisë për çdo shkelje të rregullave të detyrueshme të grupit të shoqërive tregtare nga ndonjë
anëtar i grupit, i cili nuk është i vendosur në Republikën e Shqipërisë, përveç nëse kontrolluesi ose
përpunuesi shqiptar vërteton që anëtari në fjalë nuk është përgjegjës për ngjarjen që ka shkaktuar
dëmin;
28
e) mekanizmat e ngritur brenda grupit të shoqërive tregtare ose grupit të tregtarëve dhe
shoqërive tregtare, që kryejnë aktivitet të përbashkët ekonomik për të siguruar përputhshmërinë
me rregullat, siç janë caktimi i nëpunësve të mbrojtjes së të dhënave, trajnimi i punonjësve, kryerja
e auditeve, mekanizmat për raportimin dhe regjistrimin e shkeljeve ose masat korrigjuese;
ë) mekanizmat për raportimin dhe regjistrimin e ndryshimeve të rregullave dhe raportimin e
këtyre ndryshimeve te Komisioneri si autoriteti mbikëqyrës;
f) mekanizmat e bashkëpunimit me autoritetin mbikëqyrës, duke përfshirë mekanizmat për
raportimin e çdo kriteri ligjor të zbatueshëm në lidhje me një anëtar të grupit në një shtet të huaj
dhe që mund të ketë një efekt negativ serioz në garancitë e parashikuara nga rregullat e detyrueshme
të grupit të shoqërive tregtare.
KAPITULLI V
PËRPUNIMI I TË DHËNAVE PËR QËLLIME TË POSAÇME
Neni 43
Përpunimi i të dhënave personale dhe liria e shprehjes
1. Me qëllim harmonizimin e së drejtës për mbrojtjen e të dhënave personale me lirinë e
shprehjes dhe të informimit, përfshirë përpunimin e të dhënave personale për qëllime gazetarie
dhe për qëllime akademike, artistike e letrare, mund të zbatohen, në masë të nevojshme dhe
proporcionale, përjashtime nga dispozitat e këtij ligji, me kusht që:
a) kontrolluesi të ketë si qëllim të botojë materiale gazetarie, akademike, letrare ose artistike,
për përgatitjen e të cilave janë të nevojshme të dhënat personale;
b) kontrolluesi nuk i përpunon të dhënat personale për asnjë qëllim tjetër përveç atyre të
parashikuara në shkronjën “a” të kësaj pike;
c) publikimi i materialit në një rast specifik të jetë në interes të publikut;
ç) zbatimi i dispozitave të këtij ligji mund ta bëjë të pamundur ose të rrezikojë seriozisht arritjen
e qëllimit të kontrolluesit;
d) të mos cenohet thelbi i të drejtave dhe i lirive themelore të subjekteve të të dhënave.
2. Kur kontrolluesi zbaton përjashtime në përputhje me pikën 1 të këtij neni, ai i ruan të dhënat
personale vetëm për kohën që i duhet që të botojë materiale gazetarie, akademike, letrare ose
artistike dhe i përhap ato vetëm:
a) në formën e materialit të gazetarisë, akademik, letrar ose artistik të botuar;
b) drejt marrësve, të cilët e ndihmojnë atë në përgatitjen e materialit të gazetarisë, akademik,
letrar ose artistik, material, të cilin ai synon ta publikojë;
c) drejt marrësve, që janë botuesit e mundshëm të atij materiali; ose
ç) kur është i nevojshëm për paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të drejte,
detyrimi apo interesi të ligjshëm përpara gjykatës ose autoriteteve publike.
3. Kur boton një material gazetarie, akademik, letrar ose artistik, i cili është përgatitur duke u
mbështetur në përjashtimet sipas pikës 1 të këtij neni, kontrolluesi nuk duhet të publikojë
informacione mbi bazën e të cilave, në mënyrë të drejtpërdrejtë ose tërthorazi, mund të
identifikohet:
a) një i mitur, me përjashtim të rasteve kur është marrë:
i. pëlqimi i prindit ose i kujdestarit ligjor të të miturit; ose
ii. leje nga gjykata;
b) viktima ose personi, i cili pretendon se është dëmtuar nga kryerja e një vepre penale, me
përjashtim të rasteve kur:
i. është marrë pëlqimi i viktimës ose i personit, i cili pretendon se është dëmtuar nga kryerja e
një vepre penale;
ii. është marrë leje nga gjykata; ose
29
iii. viktima është figurë publike dhe veprimi që e bën atë viktimë ka lidhje me funksionin e tij
publik.
4. Nuk lejohen përjashtime nga dispozitat, që kanë të bëjnë me kërkesat për përpunimin e të
dhënave të të miturve, nga dispozitat e neneve 6 e 21 të këtij ligji, dhe nga dispozitat e pjesës V të
këtij ligji.
Neni 44
Përpunimi i të dhënave personale dhe aksesi i informacionit në sektorin publik
1. E drejta për mbrojtjen e të dhënave personale ushtrohet në harmoni me të drejtën e aksesit
në dokumentet zyrtare dhe të drejtën e informimit, siç parashikohet në ligjin nr. 45/2022, “Për
ratifikimin e Konventës së Këshillit të Evropës për aksesin në dokumentet zyrtare”, ligjin nr.
119/2014, “Për të drejtën e informimit”, i ndryshuar, si dhe ligjin nr. 33/2022, “Për të dhënat e
hapura dhe ripërdorimin e informacionit të sektorit publik”.
2. Aksesi i publikut në informacionin publik, siç përcaktohet në ligjin nr. 119/2014, “Për të
drejtën e informimit”, i ndryshuar, dhe aksesi i publikut në informacionin që lidhet me kryerjen e
funksioneve dhe të detyrave zyrtare, nuk pengohet nga e drejta për mbrojtjen e të dhënave
personale të personave fizikë, të cilët konsiderohen si autoritete publike ose ushtrojnë funksione
shtetërore, përveç rasteve kur të drejta të tjera themelore, si e drejta e tyre për jetën ose e drejta e
tyre për integritet fizik e mendor kërkojnë mbrojtjen e të dhënave të tyre në një rast ose kategori të
caktuar rastesh.
Neni 45
Përpunimi i të dhënave personale për qëllime arkivimi për interes publik,
për qëllime historike ose kërkimore, shkencore apo për qëllime statistikore
1. Përpunimi i të dhënave personale, përfshirë të dhënat sensitive dhe penale, për qëllime
arkivimi për interes publik, qëllime historike ose kërkimore, shkencore ose qëllime statistikore,
përbën interes të ligjshëm të kontrolluesit, me përjashtim të rastit kur mbizotërojnë interesat ose të
drejtat dhe liritë themelore të subjektit të të dhënave, të cilët kërkojnë mbrojtje të të dhënave të tyre
personale. Për këtë qëllim, zbatohet pika 3 e këtij neni.
2. Të dhënat personale, përfshirë të dhënat sensitive dhe penale, të mbledhura për cilindo
qëllim, mund të përpunohen më tej për qëllime arkivimi për interes publik, për qëllime historike,
kërkimore, shkencore ose qëllime statistikore, sipas kritereve të posaçme të përcaktuara në pikën
3 të këtij neni.
3. Përpunimi sipas pikës 1 të këtij neni, si dhe përpunimi i mëtejshëm, sipas pikës 2 të këtij neni,
kryhen kur zbatohen masa të përshtatshme mbrojtëse për të drejtat dhe liritë e subjektit të të
dhënave. Këto masa mbrojtëse përfshijnë, por nuk kufizohen në, sa më poshtë:
a) masa teknike dhe organizative të ndërmarra nga kontrolluesi në përputhje me këtë ligj dhe
veçanërisht respektimin e parimit të minimizimit të të dhënave ose pseudonimizimin e tyre në
mënyrë të tillë që të përmbushet qëllimi i përpunimit. Kur qëllimet sipas këtij neni mund të
përmbushen duke përpunuar të dhëna të anonimizuara ose të paktën të pseudonimizuara, qëllimi
do të përmbushet në këtë mënyrë;
b) pseudonimizimin e të dhënave dhe, nëse nuk cenohet përmbushja e qëllimit të përpunimit
të mëtejshëm, anonimizimin e tyre përpara transferimit të të dhënave për qëllime përpunimi të
mëtejshëm;
c) masa mbrojtjeje të veçanta, në mënyrë që të dhënat e mbledhura për përpunim ose përpunim
të mëtejshëm, sipas pikave 1 ose 2 të këtij neni, të mos përpunohen për marrjen e masave ose të
vendimeve ndaj subjektit të të dhënave, me përjashtim të rastit kur subjekti i të dhënave ka dhënë
shprehimisht pëlqimin.
30
4. Përjashtimet nga ushtrimi i një ose disa prej të drejtave të subjekteve të të dhënave në lidhje
me veprimet e përpunimit për qëllimet e përmendura në pikat 1 dhe 2 të këtij neni, zbatohen në
ato raste kur ushtrimi i tyre mund të shkaktojë një dëm serioz ose të bëjë të pamundur përmbushjen
e qëllimeve specifike dhe janë të nevojshme për përmbushjen tyre. Barra e provës për të provuar
shkallën e vështirësisë së pengesave në arritjen e qëllimit të procesit të përpunimit, që do të
shkaktohej nga ushtrimi i të drejtave të një subjekti të të dhënave i përket kontrolluesit.
Neni 46
Përpunimi i të dhënave për qëllime të marketingut të drejtpërdrejtë
1. Përpunimi i të dhënave personale mund të kryhet në kuadër të marketingut të drejtpërdrejtë
si formë komunikimi me persona drejtpërdrejt të identifikueshëm, me qëllim promovimin e
mallrave ose të shërbimeve, duke përfshirë reklamimin e anëtarësimit në organizata, kërkimin e
donacioneve, si dhe aktiviteteve të marketingut të drejtpërdrejtë, që përfshijnë çdo akt përgatitor
nga reklamuesi ose nga një palë e tretë për të mundësuar këtë komunikim.
2. Përpunimi për qëllime të marketingut të drejtpërdrejtë, që ndiqet nga kontrolluesi ose nga
palë të treta, mund të bazohet në interesin legjitim, në kuptim të shkronjës “dh”, të nenit 7 të këtij
ligji, për aq sa nuk cenohen interesat për mbrojtjen e subjekteve të të dhënave. Kjo pikë zbatohet
edhe për përdorimin e të dhënave të marra nga burime të aksesueshme nga publiku për qëllime të
marketingut të drejtpërdrejtë.
3. Përpunimi i të dhënave sensitive për qëllime të marketingut të drejtpërdrejtë kryhet me
pëlqimin e shprehur të subjektit të të dhënave.
4. Kur të dhënat personale përpunohen për qëllime të marketingut të drejtpërdrejtë, subjekti i
të dhënave gëzon të drejtën ta kundërshtojë këtë përpunim në çdo moment, në përputhje me
dispozitat e veçanta të pikës 2, të nenit 19 të këtij ligji.
PJESA III
PËRPUNIMI I TË DHËNAVE PERSONALE NGA AUTORITETET KOMPETENTE PËR
SIGURINË PUBLIKE OSE KOMBËTARE DHE PËR PARANDALIMIN E NDJEKJEN E
VEPRAVE PENALE
KAPITULLI I
DISPOZITA TË PËRGJITHSHME
Neni 47
Fusha e zbatimit
Dispozitat e kësaj pjese zbatohen për përpunimin e të dhënave personale të përmendura në
pikën 1, të nenit 3 të këtij ligji, nga autoritetet kompetente për qëllime të parandalimit, hetimit,
zbulimit ose ndjekjes së veprave penale, ose ekzekutimit të dënimeve penale, duke përfshirë
mbrojtjen dhe parandalimin e kërcënimeve ndaj sigurisë publike, mbrojtjes dhe sigurisë kombëtare.
KAPITULLI II
PËRPUNIMI I TË DHËNAVE PERSONALE
Neni 48
Parimet në lidhje me përpunimin e të dhënave personale
1. Përpunimi i të dhënave personale sipas kësaj pjese do të kryhet nga autoritetet kompetente,
në përputhje me parimet e përcaktuara në nenet 6 e 51 të këtij ligji, lidhur me përpunimin e
mëtejshëm për qëllime të tjera.
31
2. Çdo ligj për parandalimin, hetimin, zbulimin ose ndjekjen e veprave penale ose ekzekutimin
e dënimeve penale, duke përfshirë mbrojtjen dhe parandalimin e kërcënimeve ndaj sigurisë publike,
mbrojtjes dhe sigurisë kombëtare, duhet të parashikojë afate të përshtatshme kohore për fshirjen
e të dhënave personale ose për një rishikim periodik të nevojës për ruajtjen e të dhënave personale,
duke përfshirë masat procedurale që sigurojnë respektimin e kufizimeve kohore.
Neni 49
Dallimi dhe cilësia e të dhënave
1. Për aq sa është e mundur, kontrolluesi bën një dallim të qartë midis të dhënave personale të
kategorive të ndryshme të subjekteve të të dhënave në çështjet penale, si më poshtë:
a) personi, të cilit i atribuohet vepra penale, personi nën hetim, i arrestuar, i ndaluar, i pandehuri
dhe personi për të cilin ekziston një dyshim i arsyeshëm dhe i bazuar në prova se do të kryejë një
vepër penale;
b) i dënuari me vendim gjyqësor penal të formës së prerë të gjykatave shqiptare ose i dënuar
me vendim gjyqësor të dhënë nga gjykatat e huaja, vendim i cili është njohur sipas legjislacionit në
fuqi dhe i është konvertuar dënimi me vendim të formës së prerë të gjykatave shqiptare;
c) viktima e një vepre penale, viktima akuzuese, paditësi civil në procesin penal ose personi për
të cilin ekziston një dyshim i arsyeshëm dhe i bazuar në prova se mund të jetë viktimë e një vepre
penale; dhe
ç) kallëzuesi, viktima që paraqet ankimin, personi që mund të tregojë rrethana të dobishme për
qëllimet e hetimit, personi që dyshohet se merr ose transmeton komunikime nga i dyshuari për
kryerjen e veprës penale apo që merr pjesë në transaksione me të, personi, vëzhgimi i të cilit mund
të çojë në zbulimin e vendndodhjes së personave të përmendur në shkronjat “a” dhe “b”, të kësaj
pike, personi i marrë si i pandehur në një procedim të lidhur, dëshmitari, personat e lidhur dhe
bashkëpunëtorët e personave të përmendur në shkronjat “a” dhe “b” të kësaj pike.
2. Të dhënat personale të bazuara në fakte duhet të dallohen, për aq sa është e mundur, nga të
dhënat personale të bazuara në vlerësime personale. Për të dhënat personale të bazuara në vlerësime
personale mbahet një regjistër i veçantë, në të cilin shënohen arsyet dhe rrethanat që kanë diktuar
këtë vlerësim.
3. Autoritetet kompetente ndërmarrin hapat dhe masat e duhura teknike e organizative për të
siguruar që të dhënat personale të pasakta ose të paplota, ose të dhënat që nuk janë të përditësuara
ose që duhen fshirë nuk transferohen dhe as nuk vihen në dispozicion, veçanërisht për efekt të
ruajtjes automatike nga sistemet e arkivimit. Përpara transmetimit ose të vënies në dispozicion të
tyre, autoriteti kompetent verifikon, për aq sa është e mundur, cilësinë e të dhënave. Të dhënat
personale të mbajtura gati për rikthim automatik mbahen të plota e të përditësuara në çdo kohë.
4. Për aq sa është e mundur, së bashku me çdo transmetim të të dhënave personale, jepen
informacione shtesë që i japin mundësi marrësit që të vlerësojë përditësimin, korrektësinë, plotësinë
dhe besueshmërinë e të dhënave personale të transmetuara.
5. Nëse rezulton se janë transmetuar të dhëna personale, të cilat nuk janë në përputhje me
kërkesat e pikës 3 të këtij neni, autoriteti kompetent për transmetimin ose autoriteti kompetent që
mban sistemin e arkivimit njofton pa vonesa marrësin. Marrësi fshin menjëherë të dhënat që janë
transmetuar në mënyrë të paligjshme, korrigjon të dhënat e pasakta, plotëson të dhënat jo të plota
ose kufizon menjëherë përpunimin.
6. Nëse autoriteti kompetent pritës ka arsye të besojë se të dhënat personale të transmetuara
janë të pasakta ose të papërditësuara ose duhet të fshihen, ose që përpunimi i tyre do të duhej të
kufizohej, ai njofton menjëherë autoritetin kompetent transmetues. Ky i fundit merr menjëherë
masat e nevojshme.
Neni 50
Përpunimi i ligjshëm i të dhënave personale
32
Përpunimi i të dhënave personale sipas kësaj pjese është i ligjshëm vetëm nëse dhe deri në
masën që:
a) parashikohet me ligj; si dhe
b) është i domosdoshëm e proporcional për përmbushjen e një detyre nga autoriteti kompetent
për qëllimet sipas nenit 47 të këtij ligji.
Neni 51
Përpunimi për qëllime të tjera
1. Përpunimi i mëtejshëm i të dhënave personale nga i njëjti autoritet kompetent ose nga një
autoritet kompetent tjetër për qëllimet sipas nenit 47 të këtij ligji, lejohet kur autoriteti kompetent
është i autorizuar nga ligji për të realizuar qëllimin tjetër, si dhe për aq sa është e nevojshme e në
proporcion me qëllimin e ri.
2. Përpunimi i mëtejshëm për qëllime të tjera, përveç atyre të përcaktuara në nenin 49 të këtij
ligji, mund të kryhet vetëm kur kjo autorizohet shprehimisht nga ligji. Për përpunimin sipas këtyre
qëllimeve zbatohen dispozitat e pjesës II të këtij ligji.
3. Përpunimi i mëtejshëm për qëllime arkivimi për interes publik, për qëllim kërkimor, historik
ose shkencor, ose qëllime statistikore, lejohet duke iu nënshtruar masave mbrojtëse të përshtatshme
për të drejtat dhe liritë e subjektit të të dhënave, në përputhje me pikën 3, të nenit 45 të këtij ligji.
Neni 52
Përpunimi i ligjshëm i të dhënave sensitive
1. Përpunimi i të dhënave sensitive nga autoritetet kompetente lejohet vetëm kur ky përpunim
është absolutisht i nevojshëm, kur zbatohen masa të përshtatshme mbrojtëse për të drejtat dhe
liritë themelore të subjekteve të të dhënave, si dhe nëse:
a) autorizohet në mënyrë specifike me ligj, me përjashtim të rastit kur është absolutisht i
nevojshëm për të mbrojtur interesat jetikë të subjektit të të dhënave ose të një personi tjetër; ose
b) ka të bëjë me të dhëna, të cilat janë bërë haptazi publike nga subjekti i të dhënave dhe i
shërben një qëllimi për të cilin kontrolluesi është kompetent sipas ligjit.
2. Kufizimet e veçanta, të parashikuara nga pika 2, e nenit 53 të këtij ligji, duhet të mbahen në
konsideratë.
Neni 53
Vendimmarrja individuale automatike
1. Ndalohet marrja e vendimeve të bazuara vetëm te përpunimi automatik, përfshirë
profilizimin, të cilat sjellin pasoja ligjore negative për subjektin e të dhënave ose mund të ndikojnë
ndjeshëm te subjekti i të dhënave, me përjashtim të rastit kur parashikohen shprehimisht me ligj, i
cili parashikon masa të përshtatshme mbrojtëse për të drejtat e liritë themelore të subjektit të të
dhënave dhe të drejtën që t’i sigurohet ndërhyrje manuale nga ana e kontrolluesit.
2. Vendimet, sipas pikës 1 të këtij neni, nuk mund të bazohen në të dhëna sensitive, nëse nuk
zbatohen masa të përshtatshme për të mbrojtur të drejtat, liritë themelore dhe interesat legjitimë të
subjektit të të dhënave. Ndalohen vendimet, sipas pikës 1 të këtij neni, që rezultojnë në diskriminim
ndaj personave fizikë në bazë të të dhënave sensitive.
3. Profilizimi që sjell si pasojë diskriminimin e personave për shkak të të dhënave sensitive është
i ndaluar.
KAPITULLI III
TË DREJTAT E SUBJEKTIT TË TË DHËNAVE
33
Neni 54
Komunikimi dhe mënyrat e ushtrimit të së drejtave të subjektit të të dhënave
1. Kontrolluesi merr masat e duhura për të ofruar çdo informacion dhe çdo komunikim sipas
neneve 55–57 të këtij ligji, në lidhje me përpunimin për subjektin e të dhënave në një formë koncize,
transparente, të kuptueshme dhe lehtësisht të aksesueshme, duke përdorur një gjuhë të qartë dhe
të thjeshtë. Informacioni duhet të sigurohet me çdo mjet të përshtatshëm, duke përfshirë edhe
mjetet elektronike. Si rregull i përgjithshëm, kontrolluesi duhet ta japë informacionin në të njëjtën
formë si kërkesa.
2. Kontrolluesi lehtëson ushtrimin e të drejtave të subjektit të të dhënave, sipas neneve 53 dhe
55–57 të këtij ligji.
3. Kontrolluesi duhet t’i japë informacion subjektit të të dhënave me shkrim për vazhdimin e
kërkesës së tij ose të saj pa vonesa të panevojshme.
4. Informacioni i dhënë dhe çdo komunikim i bërë ose veprim i ndërmarrë sipas neneve 55–
57 dhe 67 të këtij ligji bëhet pa pagesë. Kur kërkesat nga një subjekt i të dhënave janë haptazi të
pabazuara ose të tepruara, veçanërisht për shkak të karakterit të tyre të përsëritur, kontrolluesi
mund:
a) të vendosë një tarifë të arsyeshme, duke marrë parasysh kostot administrative për ofrimin e
informacionit ose të komunikimit, ose për të ndërmarrë veprimin e kërkuar; ose
b) të refuzojë ndërmarrjen e veprimeve për kërkesën.
5. Kontrolluesi ka barrën e provës për të vërtetuar karakterin haptazi të pabazuar ose të tepruar
të kërkesës.
6. Kur kontrolluesi ka dyshime të arsyeshme për identitetin e personit fizik, që bën një kërkesë
sipas neneve 57 ose 58 të këtij ligji, mund të kërkojë dhënien e informacionit shtesë të nevojshëm
për të konfirmuar identitetin e subjektit të të dhënave.
7. Kur zbatohen kufizime për përgjigjet ndaj kërkesave, sipas neneve 57 dhe 58 të këtij ligji,
subjekti i të dhënave mund t’i kërkojë Komisionerit një verifikim të legjitimitetit të të gjitha
përgjigjeve. Kontrolluesi informon subjektin e të dhënave për këtë të drejtë.
8. Kur ushtrohet e drejta e parashikuar në pikën 2 të këtij neni, Komisioneri informon subjektin
e të dhënave për kryerjen e të gjitha verifikimeve ose të rishikimeve të nevojshme nga Komisioneri,
si dhe për të drejtën e tij për të bërë ankesë pranë gjykatës administrative kompetente.
9. Në rastet e përmendura në nenet 54, pika 1, 56, pika 3, e 57, pika 6, të këtij ligji, të drejtat e
subjektit të të dhënave mund të ushtrohen edhe nëpërmjet Komisionerit.
10. Kontrolluesi informon subjektin e të dhënave për mundësinë e ushtrimit të të drejtave të tij
nëpërmjet Komisionerit, sipas pikës 9 të këtij neni.
11. Kur ushtrohet e drejta e përmendur në pikën 9 të këtij neni, Komisioneri informon subjektin
e të dhënave të paktën se janë kryer të gjitha verifikimet e nevojshme ose një rishikim nga
Komisioneri. Komisioneri do të informojë, gjithashtu, subjektin e të dhënave për të drejtën e tij
ose të saj për të kërkuar një mjet juridik.
Neni 55
E drejta për informim
1. Kontrolluesi vë në dispozicion të subjektit të të dhënave të paktën informacionin e
mëposhtëm:
a) identitetin dhe të dhënat e kontaktit të kontrolluesit dhe, kur është e zbatueshme, të dhënat
e kontaktit të nëpunësit të mbrojtjes së të dhënave;
b) qëllimet e përpunimit për të cilat merren të dhënat personale;
c) bazën ligjore për përpunimin; dhe
34
ç) ekzistencën e të drejtave për akses, korrigjim, fshirje dhe kufizimin e përpunimit të të
dhënave, si dhe të drejtën për të paraqitur ankesë te Komisioneri, duke përfshirë të dhënat e
kontaktit të Komisionerit.
2. Krahas informacionit të parashikuar në pikën 1, të këtij neni, me qëllim për të mundësuar
ushtrimin e të drejtave të tij apo të saj, kontrolluesi i jep subjektit të të dhënave, në raste të veçanta,
informacionin shtesë, si më poshtë:
a) afatin e ruajtjes së të dhënave personale ose, nëse është e mundur, kriteret e përdorura për
caktimin e këtij afati;
b) sipas rastit, kategoritë e marrësve të të dhënave personale, duke përfshirë ata në vende të
huaja apo në organizata ndërkombëtare;
c) informacione të tjera shtesë, kur është e nevojshme, dhe, në veçanti, kur të dhënat personale
janë mbledhur pa dijeninë e subjektit të të dhënave. Për dhënien e informacionit për burimin e
mbledhjes së të dhënave, vëmendje e veçantë u kushtohet të drejtave themelore dhe interesave të
ligjshëm të personave, që kanë dhënë këto të dhëna.
3. Në raste të veçanta, dhënia e informacionit për subjektin e të dhënave, në përputhje me pikën
2 të këtij neni, mund të vonohet, të kufizohet ose të refuzohet në atë masë dhe për aq kohë sa është
e nevojshme e proporcionale, duke marrë parasysh të drejtat themelore dhe interesat e ligjshëm të
subjektit të të dhënave, me qëllim:
a) shmangien e pengesave ose të paragjykimit për parandalimin, zbulimin, hetimin ose ndjekjen
e veprave penale ose ekzekutimin e dënimeve penale, në veçanti duke penguar kërkimet, hetimet,
procedurat e zhvilluara nga autoritetet kompetente ose procesin gjyqësor;
b) mbrojtjen e sigurisë publike, të sigurisë kombëtare ose mbrojtjen e të drejtave dhe të lirive
të të tjerëve.
Neni 56
E drejta për akses
1. Subjekti i të dhënave ka të drejtë të kërkojë dhe të marrë nga kontrolluesi konfirmimin nëse
të dhënat personale, në lidhje me të janë duke u përpunuar ose jo, dhe, sipas rastit, të ketë akses tek
të dhënat personale sipas nenit 14 të këtij ligji. Për dhënien e informacionit mbi burimin e mbledhjes
së të dhënave, në rastet kur të dhënat personale nuk janë mbledhur nga subjekti i të dhënave,
vëmendje e veçantë u kushtohet të drejtave themelore dhe interesave të ligjshëm të personave që
kanë dhënë këto të dhëna.
2. Kufizimi plotësisht ose pjesërisht i së drejtës për akses lejohet në atë masë dhe për aq kohë
sa ky kufizim i plotë apo i pjesshëm përbën një masë të nevojshme dhe proporcionale në një shoqëri
demokratike, duke marrë në konsideratë siç duhet të drejtat themelore dhe interesat legjitimë të
personit fizik në fjalë, vetëm kur dhe në masën që zbatimi i saj do të cenonte njërin nga qëllimet e
parashikuara në pikën 3, të nenit 55 të këtij ligji.
3. Kontrolluesi njofton subjektin e të dhënave me shkrim dhe pa vonesa të panevojshme për
çdo refuzim apo kufizim të aksesit dhe për arsyet mbi të cilat bazohet ky refuzim apo kufizim. Ky
informacion mund të mos jepet në rastet kur dhënia e tij do të cenonte njërin prej qëllimeve të
parashikuara në pikën 3, të nenit 55 të këtij ligji. Në çdo përgjigje ndaj një kërkese për akses,
kontrolluesi informon subjektin e të dhënave për mundësinë e paraqitjes së ankesës te Komisioneri
ose në gjykatën kompetente për rishikimin e përgjigjes.
4. Kontrolluesi dokumenton faktet dhe arsyet ligjore të refuzimit të aksesit sipas pikës 2 të këtij
neni, dhe e vë këtë informacion në dispozicion të Komisionerit.
Neni 57
E drejta për korrigjimin ose fshirjen e të dhënave personale dhe për kufizimin e
përpunimit
35
1. Subjekti i të dhënave ka të drejtë që kontrolluesi, sa më shpejt të jetë e mundur, të korrigjojë
të dhënat e tij personale të pasakta. Bazuar në qëllimet e përpunimit, subjekti i të dhënave ka të
drejtën që të plotësohen të dhënat e tij personale të paplota, qoftë edhe duke paraqitur një deklaratë
plotësuese.
2. Subjekti i të dhënave ka të drejtën që, sa më shpejt të jetë e mundur, të fshihen të dhënat e tij
personale në çdo rast që merr dijeni se të dhënat personale po përpunohen në mënyrë të paligjshme,
veçanërisht për shkak të shkeljes së neneve 6 ose 49–52 të këtij ligji, ose kur të dhënat personale
duhet të fshihen me qëllim përmbushjen e një detyrimi ligjor të kontrolluesit. Kontrolluesi i fshin
menjëherë të dhënat, sipas përcaktimeve të kësaj pike.
3.Kontrolluesi nuk i fshin, por vetëm kufizon përpunimin e të dhënave, kur:
a) saktësia e të dhënave personale kundërshtohet nga subjekti i të dhënave dhe saktësia ose
pasaktësia e tyre nuk mund të vërtetohet; ose
b) të dhënat personale duhet të mbahen si prova për kryerjen e një detyre, që i është caktuar
kontrolluesit me ligj.
4. Në rastin e një kufizimi sipas shkronjës “a”, të pikës 3 të këtij neni, kontrolluesi informon
subjektin e të dhënave përpara se të hiqet kufizimi.
5. Kontrolluesi informon me shkrim dhe në mënyrë të arsyetuar subjektin e të dhënave për
refuzimin e korrigjimit ose të fshirjes së të dhënave personale apo kufizimin e përpunimit. Kufizimi
plotësisht ose pjesërisht i të drejtave të parashikuara në këtë nen lejohet në atë masë dhe për aq
kohë sa ky kufizim i plotë apo i pjesshëm përbën një masë të nevojshme e proporcionale në një
shoqëri demokratike, duke marrë në konsideratë siç duhet të drejtat themelore dhe interesat
legjitimë të personit fizik në fjalë, vetëm kur dhe në masën që zbatimi i tyre do të cenonte njërin
nga qëllimet e parashikuara në pikën 3, të nenit 55 të këtij ligji. Kontrolluesi informon subjektin e
të dhënave për mundësinë e paraqitjes së ankesës te Komisioneri për rishikimin e përgjigjes së
kontrolluesit.
6. Kontrolluesi i komunikon korrigjimin e të dhënave personale të pasakta autoritetit
kompetent nga i cili janë marrë të dhënat personale të pasakta.
7. Kur të dhënat personale janë korrigjuar apo fshirë ose kur përpunimi i tyre është kufizuar
sipas këtij neni, kontrolluesi njofton të gjithë marrësit e të dhënave personale, të cilët menjëherë
korrigjojnë apo fshijnë të dhënat personale ose kufizojnë përpunimin e të dhënave personale për
të cilat janë përgjegjës.
KAPITULLI IV
DETYRIMET E KONTROLLUESIT DHE TË PËRPUNUESIT
Seksioni 1
Përgjegjësia
Neni 58
Detyrimet e kontrolluesit
Për zbatimin e dispozitave të kësaj pjese, kontrolluesi zbaton pikat 1, 2 e 4, të nenit 22 dhe pikat
1 e 2, të nenit 23 të këtij ligji.
Neni 59
Kontrolluesit e përbashkët
Kur dy ose më shumë kontrollues përcaktojnë bashkërisht qëllimet dhe mjetet e përpunimit,
zbatohen pikat 1 dhe 3, të nenit 24 të këtij ligji, me kusht që referencat për të drejtat e subjektit të
të dhënave dhe detyrat përkatëse të kontrolluesit të jenë në përputhje me të drejtat e detyrat e
përcaktuara në këtë pjesë të ligjit.
36
Neni 60
Përpunuesi
1. Kur përpunimi kryhet në emër të një kontrolluesi, zbatohen pikat 1–4, si dhe pika 8, e nenit
25 të këtij ligji, duke iu referuar dispozitave të zbatueshme të parashikuara në këtë pjesë.
2. Përpunuesi dhe çdo person që vepron nën autoritetin e kontrolluesit ose të përpunuesit, që
ka akses tek të dhënat personale, i përpunon ato të dhëna vetëm sipas udhëzimeve të kontrolluesit,
me përjashtim të rastit kur sipas ligjit parashikohet të veprojë ndryshe.
Neni 61
Detyrimi për të dokumentuar
Çdo kontrollues dhe përpunues mban dokumentacionin e veprimtarive të përpunimit duke
zbatuar nenin 27 të këtij ligji, në përputhje me rrethanat përkatëse, me kusht që referencat në
dispozitat e pjesës II të këtij ligji të jenë në përputhje me dispozitat e kësaj pjese. Dokumentacioni
i mbajtur nga kontrolluesi përmban edhe informacione për përdorimin e profilizimit, kur është e
zbatueshme.
Neni 62
Regjistrimi
1. Veprimet e përpunimit, në veçanti konsultimet dhe përhapjet, përfshirë transmetimet,
ndryshimet, korrigjimet dhe fshirjet, regjistrohen në një mënyrë të përshtatshme duke garantuar se
ligjshmëria e përpunimit mund të monitorohet dhe verifikohet. Në sistemet e përpunimit
automatik, regjistrimi përfshin çdo veprim mbledhjeje ose kombinimi. Të dhënat e regjistrimit, në
veçanti, në lidhje me konsultimin dhe përhapjen, bëjnë të mundur përcaktimin e arsyes, të datës e
të kohës së këtyre veprimeve dhe, për aq sa është e mundur, identifikimin e personit që ka
konsultuar ose përhapur të dhënat personale, si dhe identitetin e çdo marrësi të këtyre të dhënave
personale.
2. Regjistrimet përdoren vetëm për të verifikuar ligjshmërinë e përpunimit të të dhënave,
përfshirë vetëmonitorimin, për të siguruar integritetin dhe sigurinë e përpunimit të të dhënave
personale, si dhe për procedimin penal ose për të garantuar sigurinë kombëtare. Regjistrimet
mbahen për aq kohë sa është e nevojshme për qëllimet për të cilat janë mbledhur.
3. Kontrolluesi dhe përpunuesi vendosin në dispozicion të Komisionerit regjistrimet sipas
kërkesës së këtij të fundit.
Neni 63
Bashkëpunimi me Komisionerin
Në bazë të kërkesës së Komisionerit, kontrolluesi dhe përpunuesi bashkëpunojnë me të dhe i
japin çdo informacion të nevojshëm për kryerjen e këtyre detyrave, në përputhje me legjislacionin
në fuqi. Në rast se kanë marrë një rekomandim ose urdhër nga Komisioneri, kontrolluesi ose
përpunuesi duhet të informojnë Komisionerin për shkallën e përmbushjes menjëherë pas afatit të
caktuar në të.
Neni 64
Vlerësimi i ndikimit në mbrojtjen e të dhënave
Përpara fillimit të një aktiviteti të ri përpunimi, kontrolluesi bën një vlerësim të ndikimit në
mbrojtjen e të dhënave në përputhje me pikat 1–5, 8 dhe 9, të nenit 31 të këtij ligji.
37
Neni 65
Konsultimi paraprak
1. Në përputhje me nenin 32 të këtij ligji, kontrolluesi konsultohet me Komisionerin përpara
përpunimit të të dhënave personale që do të përfshihen në një sistem të ri arkivimi që do të krijohet,
kur nga vlerësimi i ndikimit arrihet në përfundimin se përpunimi paraqet rrezik të lartë për faktin
se masat për të zbutur rrezikun nuk janë marrë ose nuk janë lehtësisht të zbatueshme, ose lloji i
përpunimit dhe, në veçanti, përpunimi që përdor teknologji, mekanizma ose procedura të reja,
paraqet rrezik të lartë ndaj të drejtave dhe lirive themelore të subjekteve të të dhënave. Kontrolluesi
i vendos në dispozicion Komisionerit raportin e vlerësimit të ndikimit, si dhe, bazuar në kërkesën
e këtij të fundit, informacionet sipas pikës 4, të nenit 32 të këtij ligji, si dhe çdo informacion tjetër
që i lejon autoritetit mbikëqyrës të bëjë një vlerësim të përputhshmërisë së përpunimit dhe në
veçanti të rreziqeve për mbrojtjen e të dhënave personale të subjektit të të dhënave dhe të masave
mbrojtëse lidhur me to. Kontrolluesi mund të autorizojë përpunuesin të kryejë konsultimin me
Komisionerin.
2. Komisioneri vepron sipas pikave 2 dhe 3, të nenit 32 të këtij ligji.
3. Kur veprimet e përpunimit të të dhënave personale për qëllimet e përcaktuara në nenin 49
të këtij ligji rregullohen me ligj ose akt nënligjor, merret mendimi i Komisionerit për rreziqet që
mund të paraqesë përpunimi.
4. Komisioneri mund të publikojë me vendim veprimet e përpunimit për qëllimet e nenit 47 të
këtij ligji për të cilat nevojitet konsultim paraprak.
Seksioni 2
Siguria e të dhënave personale
Neni 66
Siguria e përpunimit
1. Duke marrë parasysh zhvillimet teknologjike, kostot e zbatimit dhe natyrën, fushën e
zbatimit, kontekstin dhe qëllimet e përpunimit, si dhe mundësinë e shfaqjes dhe të përshkallëzimit
të rrezikut për të drejtat e liritë e personave, kontrolluesi dhe përpunuesi zbatojnë masat e duhura
teknike dhe organizative për të siguruar një nivel të përshtatshëm sigurie ndaj rrezikut, veçanërisht
në lidhje me përpunimin e të dhënave sensitive të përmendura në nenin 52 të këtij ligji.
2. Lidhur me përpunimin automatik dhe, kur është e zbatueshme, në lidhje me përpunimin
joautomatik në sistemet e arkivimit, kontrolluesit dhe përpunuesit, pas vlerësimit të rreziqeve,
zbatojnë masa që kanë për qëllim:
a) kontrollin e aksesit në pajisje, për të mos lejuar persona të paautorizuar të kenë akses në
pajisjet e përdorura për përpunim;
b) kontrollin e mjeteve me të dhëna, për të parandaluar leximin, kopjimin, ndryshimin ose
fshirjen e paautorizuar të mjeteve me të dhëna;
c) kontrollin e ruajtjes, për të ndaluar hedhjen e paautorizuar të të dhënave personale dhe
inspektimin, ndryshimin ose fshirjen e paautorizuar të të dhënave personale të ruajtura;
ç) kontrollin e përdoruesit, për të parandaluar përdorimin e sistemeve automatike të përpunimit
nga persona të paautorizuar, duke përdorur pajisjet e komunikimit të të dhënave;
d) kontrollin e aksesit në të dhëna, për të garantuar se personat e autorizuar për të përdorur një
sistem automatik përpunimi kanë akses vetëm tek të dhënat personale, që përfshihen në autorizimin
e tyre për akses;
dh) kontrollin e komunikimit, për të garantuar se është e mundur të verifikohen e të
përcaktohen autoritetet, ku të dhënat personale janë transmetuar apo mund të transmetohen, ose
të vihen në dispozicion, duke përdorur pajisjet e komunikimit të të dhënave;
38
e) kontrollin e hedhjes së të dhënave, për të garantuar në mënyrë të vazhdueshme verifikimin
dhe përcaktimin se cilat të dhëna personale janë hedhur në sistemet e përpunimit automatik, kur
dhe nga kush janë hedhur të dhënat personale;
ë) kontrollin e transportit, për të parandaluar leximin, kopjimin, ndryshimin ose fshirjen e
paautorizuar të të dhënave personale gjatë transferimit të të dhënave personale ose gjatë
transportimit të mjeteve të të dhënave;
f) rikthimin për të garantuar se sistemet e instaluara, në rast ndërprerjeje, mund të rikthehen në
gjendje pune;
g) besueshmërinë dhe integritetin, për të garantuar se funksionet e sistemit kryhen, shfaqja e
defekteve në funksionim raportohet dhe se të dhënat personale të ruajtura nuk korruptohen nga
mosfunksionimi i sistemit.
3. Kontrolluesi dokumenton masat teknike dhe organizative të përshtatura dhe të zbatuara për
të garantuar mbrojtjen e të dhënave personale, në përputhje me ligjin dhe aktet nënligjore të dala
në zbatim të tij.
4. Komisioneri, me udhëzim, përcakton rregullat e hollësishme për sigurinë e të dhënave dhe
rregullon procedurat për administrimin e regjistrimit të të dhënave, hedhjen e të dhënave,
përpunimin dhe zbulimin e tyre.
Neni 67
Njoftimi për cenimin e të dhënave personale
1. Kontrolluesi njofton Komisionerin për cenimin e të dhënave personale në përputhje me
nenin 29 të këtij ligji.
2. Kur cenimi i të dhënave personale mund të përbëjë një rrezik të madh për të drejtat dhe liritë
e personave, kontrolluesi ia komunikon menjëherë cenimin e të dhënave personale subjektit të të
dhënave. Ky komunikim përshkruan me gjuhë të qartë dhe të thjeshtë natyrën e cenimit të të
dhënave personale dhe përmban të paktën informacionin dhe masat e përmendura në shkronjat
“b” deri në “ç”, të pikës 4, të nenit 29 të këtij ligji.
3. Komunikimi me subjektin e të dhënave i përmendur në pikën 2 të këtij neni, nuk është i
nevojshëm nëse përmbushet një nga kushtet e mëposhtme:
a) kontrolluesi ka zbatuar masa të përshtatshme teknike dhe organizative mbrojtëse dhe këto
masa janë zbatuar për të dhënat personale të prekura nga cenimi i të dhënave personale, në veçanti
ato masa të cilat i bëjnë të dhënat personale të pakuptueshme për çdo person, i cili është i
paautorizuar për t’i aksesuar ato, përfshirë enkriptimin;
b) kontrolluesi ka marrë masa shtesë, që sigurojnë se cenimi i të drejtave dhe i lirive themelore
të subjekteve të të dhënave nuk ka më mundësi të ndodhë; ose
c) kontrolluesi publikon njoftimin ose merr masa të tjera të ngjashme, përmes të cilave subjektet
e të dhënave njoftohen në mënyrë të njëjtë dhe efektive për cenimin e të dhënave personale, kur
njoftimi i çdo subjekti të të dhënave personale përbën një përpjekje jo të arsyeshme për
kontrolluesin.
4. Në rast se kontrolluesi nuk e kryen njoftimin, Komisioneri i kërkon kontrolluesit ta kryejë
atë kur vlerëson se rreziku për cenimin e të drejtave dhe lirive themelore është i lartë ose vendos
mbi plotësimin e njërit prej kushteve të përcaktuara në pikën 3 të këtij neni.
5. Komunikimi me subjektin e të dhënave, i përmendur në pikën 2 të këtij neni, mund të
vonohet, të kufizohet ose të refuzohet në varësi të kushteve dhe arsyeve, sipas pikës 3, të nenit 55
të këtij ligji.
Seksioni 3
Instrumente të veçanta që ndihmojnë përputhshmërinë
Neni 68
39
Nëpunësi i mbrojtjes së të dhënave
Autoritetet kompetente, me përjashtim të gjykatave kur veprojnë në kuadër të veprimtarisë së
tyre gjyqësore, caktojnë një nëpunës për mbrojtjen e të dhënave, në përputhje me nenet 33 e 34 të
këtij ligji.
Neni 69
Mekanizmat konfidencialë të raportimit
Autoritetet kompetente krijojnë mekanizma efektivë për të promovuar raportimin konfidencial
të shkeljeve të dispozitave të kësaj pjese.
KAPITULLI V
TRANSFERIMI NDËRKOMBËTAR I TË DHËNAVE
Neni 70
Parimet e përgjithshme për transferimin ndërkombëtar të të dhënave ndërmjet
autoriteteve kompetente
1. Në përputhje me dispozitat e tjera të kësaj pjese, që rregullojnë përpunimin e ligjshëm të të
dhënave personale, transferimi nga një autoritet kompetent i të dhënave personale, të cilat janë në
proces përpunimi ose do të përpunohen pas transferimit të tyre në një shtet tjetër ose organizatë
ndërkombëtare, përfshirë edhe transferimet e mëtejshme të të dhënave personale nga ky shtet ose
kjo organizatë ndërkombëtare në një shtet tjetër, ose një organizatë tjetër ndërkombëtare, mund të
bëhet vetëm nëse:
a) marrësi është një autoritet tjetër kompetent;
b) transferimi është i nevojshëm për një ose disa nga qëllimet e përcaktuara në nenin 47 të këtij
ligji; dhe
c) plotësohen kushtet e parashikuara në pikat 2–4 të këtij neni, dhe në nenet 71, 72 e 73 të këtij
ligji.
2. Të gjitha dispozitat e këtij kapitulli zbatohen në mënyrë të tillë që të mos cenohet niveli i
mbrojtjes së personave sipas kësaj pjese.
3. Në të gjitha rastet e transferimeve sipas pikës 1 të këtij neni, çdo transferim i mëtejshëm në
një vend ose organizatë tjetër ndërkombëtare lejohet vetëm me autorizimin paraprak nga autoriteti
kompetent që ka kryer transferimin fillestar. Autorizimet për transferime të mëtejshme marrin
parasysh të gjithë faktorët përkatës, duke përfshirë rrezikshmërinë e veprës penale, qëllimin për të
cilin të dhënat personale u transferuan fillimisht dhe nivelin e mbrojtjes së të dhënave personale në
vendin ose në organizatën tjetër ndërkombëtare, ku transferohen më tej të dhënat personale.
4. Transferimet sipas neneve 72 ose 73 të këtij ligji, dokumentohen në mënyrë të posaçme dhe
dokumentacioni vihet në dispozicion të Komisionerit me kërkesë, duke përfshirë datën dhe kohën
e transferimit, informacionin në lidhje me autoritetin kompetent pritës, arsyetimin e transferimit
dhe të dhënat personale të transferuara.
Neni 71
Transferimi ndërkombëtar i të dhënave ndërmjet autoriteteve kompetente
në bazë të një vendimi përshtatshmërie
1. Transferimet ndërkombëtare të të dhënave, në përputhje me shkronjat “a” dhe “b”, të pikës
1, të nenit 70 të këtij ligji, mund të bëhen nëse vendi, territori ose një ose më shumë sektorë të
specifikuar në të, ose organizata ndërkombëtare, në të cilat do të transferohen të dhënat personale,
40
siguron një nivel të përshtatshëm të mbrojtjes së të dhënave. Transferime të tilla nuk do të kërkojnë
ndonjë autorizim të veçantë.
2. Niveli i mbrojtjes së një vendi, territori ose sektori të caktuar, ose i një organizate
ndërkombëtare përcaktohet me vendim të Komisionerit, që publikohet, sipas pikës 1, të nenit 85
të këtij ligji.
3. Gjatë vlerësimit të përshtatshmërisë së nivelit të mbrojtjes, Komisioneri merr veçanërisht
parasysh elementet e mëposhtme:
a) sundimi i ligjit, respektimi i të drejtave dhe i lirive themelore të njeriut, legjislacioni përkatës,
i përgjithshëm dhe sektorial, duke përfshirë sigurinë publike, mbrojtjen, sigurinë kombëtare dhe
ligjin penal, dhe aksesin e autoriteteve publike në të dhënat personale, si dhe zbatimin e këtij
legjislacioni, rregullat e mbrojtjes së të dhënave, rregullat profesionale dhe masat e sigurisë, duke
përfshirë rregullat për transferimin e mëtejshëm të të dhënave personale në një vend tjetër të tretë
ose organizatë ndërkombëtare, të cilat respektohen në atë vend ose organizatë ndërkombëtare,
praktikën gjyqësore, dhe të drejtat efektive dhe të zbatueshme të subjektit të të dhënave dhe
dëmshpërblim efektiv administrativ dhe gjyqësor për subjektet e të dhënave, të dhënat personale
të të cilëve janë transferuar;
b) ekzistencën dhe funksionimin efektiv të një ose më shumë autoriteteve mbikëqyrëse të
pavarura në vendin e tretë ose të cilit i nënshtrohet një organizatë ndërkombëtare, me përgjegjësi
për sigurimin dhe zbatimin e respektimit të rregullave të mbrojtjes së të dhënave, duke përfshirë
kompetencat e duhura të zbatimit, për të ndihmuar e këshilluar subjektet e të dhënave në ushtrimin
e të drejtave të tyre dhe për bashkëpunim me autoritetet mbikëqyrëse; dhe
c) angazhimet ndërkombëtare që ka marrë vendi i tretë ose organizata ndërkombëtare në fjalë,
ose detyrime të tjera, që rrjedhin nga konventat ose instrumentet ligjërisht të detyrueshme, si dhe
nga pjesëmarrja e tij në sisteme shumëpalëshe ose rajonale, veçanërisht në lidhje me mbrojtjen e të
dhënave personale.
4. Komisioneri do të monitorojë zhvillimet në ato vende ose organizata ndërkombëtare, të cilat
janë vlerësuar se kanë një nivel të përshtatshëm të mbrojtjes në lidhje me mbrojtjen e të dhënave
personale dhe do të rishikojë vendimet e tij në përputhje me rrethanat.
Neni 72
Transferimet ndërkombëtare të të dhënave në mungesë
të një vendimi përshtatshmërie
1. Transferimet ndërkombëtare të të dhënave tek një autoritet kompetent në një shtet ose një
organizatë ndërkombëtare në mungesë të një vendimi përshtatshmërie mund të bëhen nëse:
a) masat e përshtatshme mbrojtëse në lidhje me mbrojtjen e të dhënave personale parashikohen
në një ligj ose akt nënligjor të detyrueshëm për zbatim; ose
b) kontrolluesi ka vlerësuar të gjitha rrethanat që lidhen me transferimin e të dhënave personale
dhe arrin në përfundimin se ekzistojnë masa të përshtatshme në lidhje me mbrojtjen e të dhënave
personale.
2. Kontrolluesi informon Komisionerin për kategoritë e transferimeve, sipas shkronjës “b”, të
pikës 1 të këtij neni. Komisionerit i jepen të dhëna shtesë me kërkesë të tij.
Neni 73
Përjashtimet për situatat e veçanta
1. Transferimi ndërkombëtar i të dhënave tek një autoritet kompetent në një shtet ose një
organizatë ndërkombëtare, që ka nivel të pamjaftueshëm të mbrojtjes së të dhënave ose në mungesë
të masave të përshtatshme mbrojtëse, sipas shkronjës “a”, të pikës 1, të nenit 72 lejohet vetëm kur
transferimi është i nevojshëm:
a) për të mbrojtur interesat jetikë të subjektit të të dhënave ose të një personi tjetër;
41
b) për të mbrojtur interesat e ligjshëm të subjektit të të dhënave, kur e parashikon ligji;
c) për të parandaluar një kërcënim të drejtpërdrejtë dhe serioz ndaj sigurisë publike të
Republikës së Shqipërisë ose të një shteti tjetër;
ç) në raste individuale për qëllimet e përcaktuara në nenin 49 të këtij ligji, dhe masat e
përshtatshme mbrojtëse nuk mund të zbatohen në kohën e duhur; ose
d) në një rast individual për paraqitjen e një kërkese apo ushtrimin ose mbrojtjen e një të drejte,
detyrimi apo interesi të ligjshëm përpara gjykatës ose autoriteteve publike, në lidhje me qëllimet e
përcaktuara në nenin 49 të këtij ligji.
2. Të dhënat personale nuk transferohen nëse autoriteti kompetent për transferimin vendos se
të drejtat dhe liritë themelore të subjektit të të dhënave në fjalë kanë përparësi mbi interesin publik
në lidhje me transferimin e përcaktuar në shkronjat “ç” dhe “d”, të pikës 1 të këtij neni.
Neni 74
Transferimet ndërkombëtare të të dhënave te marrës
që nuk janë autoritete kompetente
1. Me përjashtim të rastit të parashikuar në shkronjën “a”, të pikës 1, të nenit 74 të këtij ligji,
dhe pa cenuar marrëveshjet ndërkombëtare në fuqi ndërmjet Republikës së Shqipërisë dhe shteteve
të tjera në fushën e bashkëpunimit gjyqësor për çështjet penale dhe bashkëpunimit policor,
autoritetet kompetente, të cilat janë autoritete publike, në raste individuale dhe të veçanta, mund të
transferojnë të dhëna personale drejtpërdrejt te marrës të huaj, që nuk janë autoritete kompetente,
nëse veprohet në përputhje me dispozitat e kësaj pjese dhe nëse plotësohen të gjitha kushtet e
mëposhtme:
a) transferimi është i domosdoshëm për kryerjen e një detyre, që i caktohet me ligj autoritetit
kompetent për transferimin, brenda qëllimeve të përcaktuara në nenin 47 të këtij ligji;
b) autoriteti kompetent transferues arrin në përfundimin se asnjë e drejtë dhe liri themelore e
subjektit të të dhënave nuk ka përparësi mbi interesin publik për mbrojtjen e të cilit kërkohet
transferimi;
c) autoriteti kompetent transferues arrin në përfundimin se transferimi tek një autoritet
kompetent i shtetit tjetër për qëllimet sipas pikës 1, të nenit 48 të këtij ligji, është joefektiv ose i
papërshtatshëm, veçanërisht për shkak se transferimi nuk mund të realizohet në kohën e duhur;
ç) autoriteti që është kompetent në shtetin tjetër, për qëllimet e përmendura në nenin 47 të këtij
ligji vihet në dijeni menjëherë, me përjashtim të rastit kur njoftimi i menjëhershëm nuk është efektiv
ose i përshtatshëm; dhe
d) autoriteti kompetent transferues informon marrësin për qëllimin ose qëllimet e specifikuara,
për të cilët të dhënat personale do të përpunohen vetëm nga ky i fundit, me kusht që ky përpunim
të jetë i domosdoshëm, dhe veçanërisht që çdo transferim i mëtejshëm të marrë autorizim paraprak
nga autoriteti kompetent transferues.
2. Autoriteti kompetent transferues e informon Komisionerin për transferimet sipas pikës 1 të
këtij neni. Këto transferime dokumentohen në mënyrë të posaçme dhe dokumentacioni vihet në
dispozicion të Komisionerit me kërkesë, duke përfshirë datën dhe kohën e transferimit,
informacionin në lidhje me autoritetin kompetent pritës, arsyetimin e transferimit dhe të dhënat
personale të transferuara.
PJESA IV
KOMISIONERI PËR TË DREJTËN E INFORMIMIT DHE MBROJTJEN E TË
DHËNAVE PERSONALE
Seksioni 1
Statusi i pavarur
42
Neni 75
Komisioneri
1. Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale është person
juridik publik dhe autoriteti mbikëqyrës i pavarur dhe përgjegjës për monitorimin e mbikëqyrjen e
zbatimit të këtij ligji, me qëllim mbrojtjen e të drejtave dhe të lirive themelore të personave fizikë
në lidhje me përpunimin e të dhënave personale.
2. Paga e Komisionerit përbëhet nga:
a) vlera për pozicionin e punës e përcaktuar nga raporti me pagën e Presidentit të Republikës
sipas legjislacionit në fuqi për pagat, shpërblimet dhe strukturat e institucioneve të pavarura
kushtetuese dhe të institucioneve të tjera të pavarura të krijuara me ligj;
b) shtesa për kushte pune (natyrë të veçantë pune) në masën 55% të vlerës së pagës për
pozicionin e punës.
Neni 76
Pavarësia dhe papajtueshmëria e funksioneve
1. Komisioneri vepron në pavarësi të plotë gjatë kryerjes së detyrave dhe ushtrimit të
kompetencave të tij në përputhje me këtë ligj, si dhe nuk ndikohet qoftë në mënyrë të drejtpërdrejtë
apo të tërthortë e nuk kërkon apo merr udhëzime.
2. Gjatë mandatit të tij, Komisioneri nuk kryen asnjë veprimtari të papajtueshme me detyrën e
tij, si dhe nuk ushtron asnjë profesion të papajtueshëm me detyrën e tij, pavarësisht përfitimit ose
jo.
3. Komisioneri ka buxhetin e tij, i cili është pjesë e buxhetit të shtetit të miratuar nga Kuvendi
dhe e administron atë në mënyrë të pavarur. Ai propozon buxhetin në përputhje me legjislacionin
në fuqi. Komisioneri i nënshtrohet kontrollit financiar, për aq sa nuk ndikon në pavarësinë e tij.
4. Komisioneri gëzon trajtim protokollar të njëjtë me atë të kryetarit të komisionit të
përhershëm në Kuvend.
Neni 77
Zyra e Komisionerit, burimet njerëzore dhe financiare
1. Komisioneri ndihmohet nga Zyra e Komisionerit, e cila pajiset me burimet njerëzore,
teknike, financiare, mjediset dhe me infrastrukturën e nevojshme për kryerjen e detyrave dhe
ushtrimin e kompetencave të tij në mënyrë efektive.
2. Personeli i nënshtrohet drejtimit ekskluziv të Komisionerit dhe raporton rregullisht tek ai.
Komisioneri, me qëllim realizimin e misionit dhe objektivave të institucionit, për të marrë
këshillimin e duhur për çështje specifike, ka të drejtë të ketë këshilltarë të jashtëm. Pagesa e tyre
përcaktohet nga Komisioneri referuar legjislacionit në fuqi.
3. Komisioneri miraton strukturën dhe organikën e Zyrës së Komisionerit. Punonjësit e Zyrës
së Komisionerit përfitojnë shtesë për kushte pune (natyrë të veçantë pune), e cila përcaktohet me
vendim të Këshillit të Ministrave.
4. Informacioni konfidencial për të cilin Komisioneri dhe personeli i tij merr dijeni për shkak
të ushtrimit të detyrave dhe kompetencave dhe, në veçanti, informacioni i marrë nga paraqitja e
ankesave prej personave fizikë për shkelje të këtij ligji, përbën sekret profesional. Komisioneri dhe
personeli i Zyrës së tij përjashtohen nga detyrimi për ruajtjen e sekretit profesional kur informacioni
lidhet me një vepër penale, sipas Kodit Penal të Republikës së Shqipërisë, dhe Komisioneri i referon
në autoritetin kompetent të ndjekjes penale.
5. Marrëdhëniet e punës së nëpunësve të Zyrës së Komisionerit rregullohen nga ligji për
nëpunësin civil. Marrëdhëniet e punës së punonjësve administrativë dhe funksionarëve të kabinetit
rregullohen nga Kodi i Punës.
43
Seksioni 2
Zgjedhja dhe mbarimi i mandatit
Neni 78
Zgjedhja dhe mandati
1. Komisioneri zgjidhet me shumicën e të gjithë anëtarëve të Kuvendit, me propozim të
Këshillit të Ministrave, për një mandat 7-vjeçar, me të drejtë rizgjedhjeje.
2. Procedura për përzgjedhjen e kandidatit fillon me publikimin e thirrjes për shprehje interesi
për t’u zgjedhur si Komisioner 90 (nëntëdhjetë) ditë përpara përfundimit të mandatit ose jo më
vonë se 7 (shtatë) ditë në rast shkarkimi apo dorëheqjeje.
3. Para marrjes së detyrës, Komisioneri bën betimin para Kuvendit me këtë formulë: “Betohem
se gjatë kryerjes së detyrës do të mbroj kurdoherë të drejtat kushtetuese për informim dhe
mbrojtjen e të dhënave personale, si të drejta dhe liri themelore të njeriut.”.
Neni 79
Kriteret e zgjedhjes
Kandidati për Komisioner duhet të plotësojë këto kritere:
a) të jetë shtetas shqiptar;
b) të ketë përfunduar studimet e integruara në drejtësi ose në një program të ciklit të dytë të
studimeve universitare në drejtësi, të barasvlershëm me to, ose të ketë kryer studimet universitare
në drejtësi jashtë Shqipërisë dhe të ketë marrë një diplomë të barasvlershme, të njësuar sipas
rregullave për njësimin e diplomave të parashikuara nga legjislacioni në fuqi;
c) të ketë jo më pak se 15 (pesëmbëdhjetë) vjet përvojë profesionale aktive me kohë të plotë
pas përfundimit të studimeve në drejtësi sipas shkronjës “b” të këtij neni;
ç) të ketë njohuri, si dhe të ketë kryer veprimtari të spikatur në fushën e të drejtave të njeriut,
sfera të tjera të së drejtës e, në veçanti, në fushën e mbrojtjes së të dhënave personale dhe të së
drejtës për informim;
d) të mos jetë dënuar me vendim të formës së prerë për kryerjen e një vepre penale gjatë 10
(dhjetë) vjetëve të fundit;
dh) të mos ketë mbajtur detyrën e anëtarit të Këshillit të Ministrave ose të deputetit gjatë 4
(katër) vjetëve të fundit.
Neni 80
Përfundimi i mandatit
1. Mandati i Komisionerit përfundon kur:
a) përfundon mandatin 7-vjeçar;
b) jep dorëheqjen;
c) shkarkohet.
2. Komisioneri shkarkohet vetëm me kërkesë të motivuar nga Këshilli i Ministrave, e cila
mbështetet nga jo më pak se një e treta e të gjithë anëtarëve të Kuvendit. Kuvendi vendos për
shkarkimin e Komisionerit me tre të pestat e të gjithë anëtarëve të tij, për shkak të:
a) shkeljeve të rënda, që dëmtojnë rëndë reputacionin në publik apo funksionimin e Zyrës; ose
b) pamundësisë së tij për të përmbushur më tej funksionin e Komisionerit.
3. Në rast shkarkimi ose dorëheqjeje, Këshilli i Ministrave i propozon Kuvendit kandidaturën
e re, brenda 1 (një) muaji. Kur mandati përfundon sipas shkronjave “a” dhe “b”, të pikës 1 të këtij
neni, Komisioneri qëndron në detyrë deri në zgjedhjen e Komisionerit të ri.
44
4. Në përfundim të mandatit, Komisioneri, i cili përpara emërimit punonte me kohë të plotë
në sektorin publik, rikthehet në vendet e mëparshme të punës ose, në pamundësi, në një pozicion
të barasvlershëm me të.
Seksioni 3
Kompetencat dhe detyrat
Neni 81
Kompetencat në fushën e mbrojtjes së të dhënave personale
Komisioneri është përgjegjës për kryerjen e detyrave që i janë caktuar dhe ushtrimin e
kompetencave që i janë dhënë atij në fushën e mbrojtjes së të dhënave në përputhje me këtë ligj.
Neni 82
Detyrat dhe kompetencat përkatëse për zbatimin e tyre
1. Pavarësisht detyrave të tjera të përcaktuara sipas këtij ligji, Komisioneri është përgjegjës për:
a) monitorimin dhe mbikëqyrjen e zbatimit të këtij ligji dhe të akteve nënligjore të dala në
zbatim të tij, si dhe hartimin e publikimin e një raporti vjetor për këtë çështje;
b) nxitjen e ndërgjegjësimit të publikut, kontrolluesve dhe përpunuesit, si dhe të të kuptuarit të
rreziqeve, rregullave, masave mbrojtëse dhe të drejtave, në lidhje me përpunimin e të dhënave
personale, edhe nëpërmjet botimeve dhe programe/module trajnimi me vëmendje të veçantë për
aktivitetet që kanë në fokus të miturit dhe nëpunësit e mbrojtjes së të dhënave;
c) dhënien e mendimit Kuvendit, Këshillit të Ministrave dhe institucioneve të tjera qendrore
për masat legjislative e administrative për mbrojtjen e të drejtave dhe të lirive themelore të
personave fizikë, lidhur me përpunimin e të dhënave personale;
ç) monitorimin e zhvillimeve përkatëse në masën që ato kanë ndikim mbi mbrojtjen e të
dhënave personale, si dhe dhënien e rekomandimeve për zbatimin e kërkesave të ligjit për mbrojtjen
e të dhënave personale dhe publikimin e tyre;
d) miratimin dhe publikimin e udhëzimeve për përpunimin e të dhënave personale, të cilat ndër
të tjera përfshijnë kohëzgjatjen e ligjshme të ruajtjes së të dhënave personale ose masat e sigurisë
në sektorin e arsimit, shëndetësisë, sistemit të video-survejimit, marketingut të drejtpërdrejtë, si
dhe për organet kompetente sipas përkufizimit të këtij ligji;
dh) miratimin dhe publikimin e udhëzuesve të ndryshëm për detyrime që burojnë nga ky ligj;
e) autorizimin sipas pikës 3, të nenit 41 të këtij ligji, miratimin dhe publikimin e klauzolave
standarde kontraktuale për kontratat ndërmjet kontrolluesve dhe përpunuesve, sipas pikës 7, të
nenit 26, të këtij ligji, dhe rregulla të detyrueshme të shoqërive tregtare sipas nenit 42 të këtij ligji;
ë) këshillimin e kontrolluesve në kuadër të konsultimit paraprak, sipas nenit 32 të këtij ligji, dhe
autorizimin e përpunimit, në përputhje me pikën 5, të nenit 32 të këtij ligji, si dhe të publikimit të
listave, në lidhje me kriteret për vlerësimin e ndikimit në mbrojtjen e të dhënave, sipas pikës 7, të
nenit 31 dhe të pikës 4, të nenit 65 të këtij ligji;
f) nxitjen e hartimit të kodeve të sjelljes sipas nenit 35 të këtij ligji, dhe publikimin e kritereve
për akreditimin e një organi për monitorimin e kodeve të sjelljes sipas nenit 36 të këtij ligji,
miratimin e kodeve të sjelljes dhe akreditimin e një organi monitorues, kur kërkesat përmbushen
dhe për sa kohë që përmbushen;
g) nxitjen e vënies në zbatim të certifikimit, të vulave e të markave të mbrojtjes së të dhënave,
me qëllim lehtësimin e përputhshmërisë me këtë ligj, hartimin dhe publikimin e kritereve për
certifikimin, në përputhje me nenin 37 të këtij ligji, dhe për akreditimin e organizmave të certifikimit
në përputhje me nenin 38 të këtij ligji, si dhe akreditimin e organizmave të certifikimit, përfshirë
miratimin e mekanizmave të tyre të certifikimit, kur kërkesat përmbushen dhe për sa kohë që ato
përmbushen;
45
gj) mbikëqyrjen, rregullimin dhe autorizimin e transferimit ndërkombëtar të të dhënave
personale në përputhje me kapitullin IV, të pjesës II dhe kapitullin V, të pjesës III të këtij ligji, duke
përfshirë, në veçanti, vendimet për përshtatshmërinë dhe klauzolat standarde të mbrojtjes së të
dhënave;
h) kryerjen e hetimeve në lidhje me përputhshmërinë e veprimeve të përpunimit të të dhënave
personale me këtë ligj, kryesisht apo mbi bazë ankese;
i) garantimin e ushtrimit të të drejtave të subjekteve të të dhënave, siç parashikohet në kapitullin
II, të pjesës II dhe në kapitullin III, të pjesës III të këtij ligji, përfshirë informimin dhe këshillimin
e subjekteve të të dhënave në këtë drejtim;
j) shqyrtimin e ankesave të paraqitura te Komisioneri nga persona fizikë ose subjekte, organizata
ose shoqata jofitimprurëse, të cilat përfaqësojnë personin fizik, në përputhje me nenin 89 të këtij
ligji, në rast shkeljeje të këtij ligji;
k) rishikimin e përgjigjeve të dhëna nga autoritetet kompetente ndaj kërkesave të subjekteve të
të dhënave në lidhje me ushtrimin e të drejtave të tyre për akses ose për korrigjim ose fshirje, sipas
nenit 90 të këtij ligji;
l) vendosjen e sanksioneve administrative dhe penaliteteve të tjera, sipas kapitullit II, të pjesës
V të këtij ligji, dhe mbikëqyrjen e ekzekutimit të tyre;
ll) të marrë hapat e duhur në lidhje me shtetet e huaja dhe organizatat ndërkombëtare për:
i. të zhvilluar mekanizma të bashkëpunimit ndërkombëtar për të lehtësuar ekzekutimin e
efektshëm të legjislacionit për mbrojtjen e të dhënave personale;
ii. të dhënë ndihmë të ndërsjellë ndërkombëtare në zbatimin e legjislacionit për mbrojtjen e të
dhënave personale, përfshirë nëpërmjet njoftimit, referimit të ankesës, asistencës në hetim dhe
shkëmbimin e informacionit, duke iu nënshtruar garancive të përshtatshme për mbrojtjen e të
dhënave personale dhe të drejtave e lirive të tjera themelore;
iii. të angazhuar aktorët përkatës në diskutime dhe aktivitete, që synojnë bashkëpunim të
mëtejshëm ndërkombëtar në zbatimin e legjislacionit për mbrojtjen e të dhënave personale;
iv. të nxitur shkëmbimin e dokumentimin e legjislacionit e të praktikës për mbrojtjen e të
dhënave personale, duke përfshirë konfliktet juridiksionale me shtete të huaja.
m) përfaqësimin e Zyrës së Komisionerit në aktivitetet e zhvilluara në nivel kombëtar e
ndërkombëtar;
n) mbajtjen e një regjistri të brendshëm për shkeljet e këtij ligji dhe të masave të marra sipas
pikës 2, të nenit 83 të këtij ligji.
2. Komisioneri harton një raport vjetor, të cilin ia dërgon Kuvendit dhe raporton përpara tij sa
herë i kërkohet, si dhe i kërkon atij të dëgjohet për çështje që i çmon të rëndësishme.
Neni 83
Kompetencat ndihmëse
1. Për përmbushjen e detyrave të tij, sipas nenit 82 të këtij ligji, Komisioneri ka kompetencat e
mëposhtme hetimore:
a) njofton kontrolluesit ose përpunuesit për shkelje të pretenduara të këtij ligji dhe kërkon
qëndrimin e tyre lidhur me këto pretendime;
b) urdhëron kontrolluesit dhe përpunuesit të japin çdo informacion që kërkon Komisioneri
për kryerjen e detyrave të tij, përfshirë aksesin në dokumentacion;
c) ka akses në çdo mjedis të kontrolluesit dhe të përpunuesit, përfshirë pajisjet dhe mjetet e
përpunimit të të dhënave;
ç) kryen hetim administrativ në formën e auditimit të mbrojtjes së të dhënave;
d) rishikon certifikimet e lëshuara nga organizmat certifikues, në përputhje me nenet 37 e 38 të
këtij ligji;
dh) rishikon ligjshmërinë e përpunimit në kuadër të kufizimeve të të drejtave të subjekteve të
të dhënave sipas kapitullit III, të pjesës III të këtij ligji.
46
2. Për përmbushjen e detyrave sipas nenit 82, të këtij ligji, Komisioneri ka kompetencat e
mëposhtme korrigjuese:
a) paralajmëron kontrolluesit ose përpunuesit se veprimet e synuara të përpunimit mund të
rezultojnë në shkelje të dispozitave të këtij ligji dhe u jep atyre rekomandime lidhur me
përputhshmërinë me ligjin;
b) i jep vërejtje kontrolluesit ose përpunuesit kur veprimet e përpunimit kanë shkelur dispozitat
e këtij ligji;
c) urdhëron kontrolluesit ose përpunuesit të zbatojnë kërkesat e subjektit të të dhënave për
ushtrimin e të drejtave të tij ose të saj në përputhje me këtë ligj;
ç) urdhëron kontrolluesit ose përpunuesit t’i kryejnë veprimet e përpunimit në përputhje me
dispozitat e këtij ligji dhe, kur është e mundur, në një mënyrë specifike dhe brenda një afati të
caktuar;
d) urdhëron kontrolluesit t’u komunikojnë cenimin e të dhënave personale subjekteve të të
dhënave;
dh) vendos një kufizim të përkohshëm ose përfundimtar të përpunimit, përfshirë ndalimin e
përpunimit;
e) urdhëron korrigjimin, fshirjen ose çregjistrimin e të dhënave personale, si dhe kufizimin e
përpunimit, në përputhje me nenet 15, 16 e 17 të këtij ligji, dhe njoftimin e marrësve për këto
veprime, siç parashikohet në nenet 15 e 17 të këtij ligji;
ë) shfuqizon certifikimin ose urdhëron organizmin certifikues të shfuqizojë një certifikim të
lëshuar në përputhje me nenet 37 e 38 të këtij ligji, ose urdhëron organizmin certifikues të mos
lëshojë certifikime nëse nuk janë përmbushur ose nuk përmbushen më kriteret për certifikim;
f) urdhëron pezullimin e kalimit të të dhënave tek një marrës në një vend të tretë ose tek një
organizatë ndërkombëtare;
g) vendos sanksione administrative në përputhje me nenet 93 e 94 të këtij ligji, të cilat mund t’i
shtohen ose të zëvendësojnë masat e përmendura në shkronjat “a”–“i” të kësaj pike, në varësi të
rrethanave të çdo rasti individual.
3. Kur një shkelje mund të përbëjë vepër penale, sipas Kodit Penal të Republikës së Shqipërisë,
Komisioneri vepron sipas pikës 4, të nenit 77 të këtij ligji.
Neni 84
Detyrimi për bashkëpunim
Institucionet publike dhe subjektet private bashkëpunojnë me Komisionerin, duke i siguruar
të gjithë informacionin që ai kërkon për përmbushjen e detyrave të tij, si dhe e njoftojnë atë për
zbatimin e rekomandimeve të dhëna menjëherë pas përfundimit të afateve të caktuara për to.
Neni 85
Publikimi
1. Udhëzimet, vendimet dhe aktet e tjera nënligjore të Komisionerit, me karakter të
përgjithshëm, botohen në Fletoren Zyrtare.
2. Raporti vjetor dhe raportet e posaçme publikohen në faqen zyrtare elektronike të
Komisionerit.
3. Vendimet, autorizimet, rekomandimet ose aktet e tjera administrative, që lidhen me raste
individuale publikohen pas pseudonimizimit në faqen zyrtare elektronike të Komisionerit.
PJESA V
MJETET LIGJORE, PËRGJEGJËSIA DHE PENALITETET
KAPITULLI I
47
MJETET LIGJORE DHE PËRGJEGJËSIA
Neni 86
E drejta për t’u ankuar
1. Pavarësisht mjeteve të tjera ligjore në dispozicion, administrative ose gjyqësore, çdo subjekt
i të dhënave që pretendon se përpunimi i të dhënave të tij personale kryhet në shkelje të këtij ligji,
ka të drejtë të paraqesë ankim pranë Komisionerit, i cili e shqyrton atë në përputhje me dispozitat
e Kodit të Procedurës Administrative dhe të këtij ligji.
2. Pasi vihet në dijeni nga Komisioneri për ankesën e depozituar, kontrolluesi ose përpunuesi,
kur i kërkohet nga Komisioneri, nuk bën ndryshime thelbësore në përpunimin e të dhënave
personale në fjalë pa miratimin e Komisionerit, deri në përfundim të shqyrtimit të ankesës.
3. Komisioneri vë në dijeni ankuesin për ecurinë e shqyrtimit të ankesës, vendimin e marrë, si
dhe të drejtën e ankimit në gjykatë, përfshirë gjykatën, ku mund të paraqitet ankimi, mjetet e
ankimit, afatin dhe mënyrën e përllogaritjes së tij për paraqitjen e ankimit.
4. Komisioneri lehtëson dorëzimin e ankesave nëpërmjet formularëve të paraqitjes së tyre, që
mund të plotësohen, gjithashtu, në mënyrë elektronike, pa përjashtuar mjetet e tjera të
komunikimit.
5. Kryerja e detyrave të Komisionerit sipas këtij neni bëhet pa kundërshpërblim.
6. Kur ankesat janë qartazi të pabazuara ose të tepruara, veçanërisht për shkak të karakterit të
tyre përsëritës, Komisioneri mund të refuzojë ndërmarrjen e veprimeve në lidhje me ankesën.
Komisioneri mban barrën e provës lidhur me pabazueshmërinë dhe natyrën e tepruar të ankesës.
Neni 87
Ankimi ndaj vendimmarrjes së Komisionerit
1. Pa cenuar mjetet e tjera administrative ose të zgjidhjes jashtëgjyqësore të mosmarrëveshjeve,
çdo person fizik ose juridik, që pretendon se i është cenuar një e drejtë apo një interes i ligjshëm
nga një veprim apo mosveprim, akt administrativ ose nënligjor normativ i nxjerrë nga Komisioneri,
ka të drejtë të paraqesë ankim në gjykatën administrative kompetente, sipas legjislacionit në fuqi
për gjykimin e mosmarrëveshjeve administrative.
2. Pa cenuar mjetet e tjera administrative ose të zgjidhjes jashtëgjyqësore të mosmarrëveshjeve,
çdo subjekt i të dhënave, që paraqet ankim sipas nenit 86 të këtij ligji, ose kërkesë sipas nenit 90 të
këtij ligji, ka të drejtë të paraqesë kërkesëpadi në gjykatën administrative kompetente kur
Komisioneri nuk e shqyrton ankimin ose kërkesën e tij brenda ose nuk e informon subjektin e të
dhënave brenda 90 (nëntëdhjetë) ditëve për ecurinë e shqyrtimit të ankesës ose të kërkesës.
Neni 88
E drejta për dëmshpërblim dhe përgjegjësia
1. Pa paragjykuar çdo mjet të disponueshëm administrativ ose jogjyqësor, duke përfshirë të
drejtën për të paraqitur një ankesë te Komisioneri, çdo subjekt i të dhënave ka të drejtën për një
mjet juridik efektiv kur ai ose ajo konsideron se të drejtat e tij ose të saj, sipas këtij ligji, janë cenuar
si rezultat i përpunimit të të dhënave të tij personale në kundërshtim me këtë ligj. Kushdo që ka
pësuar dëm financiar ose jo financiar për shkak të shkeljes së këtij ligji, ka të drejtë të përfitojë
dëmshpërblim nga kontrolluesi, përpunuesi ose çdo autoritet kompetent për dëmin e pësuar, sipas
Kodit Civil.
2. Çdo kontrollues i përfshirë në përpunim është përgjegjës për dëmin e shkaktuar nga
përpunimi i kryer në shkelje të këtij ligj. Përpunuesi mban përgjegjësi për dëmin e shkaktuar nga
përpunimi vetëm kur nuk ka vepruar në përputhje me detyrimet që sipas këtij ligji i ngarkohen në
48
mënyrë të posaçme përpunuesve ose kur ka vepruar në tejkalim ose në kundërshtim me udhëzimet
e ligjshme të kontrolluesit.
3. Kontrolluesi ose përpunuesi përjashtohet nga përgjegjësia sipas pikës 2 të këtij neni nëse
provon se nuk është përgjegjës për veprimin që ka shkaktuar dëmin.
4. Kur më shumë se një kontrollues ose një përpunues, ose kur së bashku kontrolluesi dhe
përpunuesi janë të përfshirë në të njëjtin përpunim dhe mbajnë përgjegjësi, sipas pikave 2 dhe 3 të
këtij neni, për dëmin e shkaktuar nga përpunimi, secili prej tyre mban përgjegjësi për shumën e
plotë të dëmit, me qëllim që të garantohet dëmshpërblim efektiv i subjektit të të dhënave.
5. Kontrolluesi ose përpunuesi, që në përputhje me pikën 4 të këtij neni e ka shpërblyer
plotësisht dëmin e shkaktuar, ka të drejtë të kërkojë nga kontrolluesit ose përpunuesit e tjerë të
përfshirë në atë përpunim kthimin e shumës që ka paguar për atë pjesë të shpërblimit, që
korrespondon me pjesën e tyre të përgjegjësisë për dëmin, në përputhje me kushtet e përcaktuara
në pikën 2 të këtij neni dhe legjislacionin në fuqi.
Neni 89
Përfaqësimi i subjekteve të të dhënave
Subjekti i të dhënave ka të drejtë që të autorizojë një subjekt, organizatë ose shoqatë
jofitimprurëse, të themeluar sipas ligjit, që, sipas statutit, ka pjesë të objektit të aktivitetit veprimtari
me interes publik dhe është aktiv në fushën e mbrojtjes së të drejtave e të lirive të subjekteve të të
dhënave në lidhje me mbrojtjen e të dhënave të tyre personale, të paraqesë ankesë për llogari të tij,
si dhe të ushtrojë të drejtat e përmendura nga nenet 86–88, 90 e 91, të këtij ligji për llogari të tij.
Neni 90
E drejta për rishikimin e përgjigjes së një autoriteti kompetent
1. Marrësi i një përgjigjeje nga një autoritet kompetent në vijim të një kërkese nga ana e tij për
ushtrimin e të drejtave, sipas neneve 55–57 të këtij ligji, mund t’i kërkojë Komisionerit rishikimin
e ligjshmërisë së përgjigjes, si dhe, nëse është e mundur, ligjshmërisë së veprimeve të përpunimit,
që qëndrojnë në themel të përgjigjes.
2. Komisioneri shqyrton kërkesën e marrësit, duke ndjekur procedurën e parashikuar në nenin
86 të këtij ligji dhe në përfundim i kthen përgjigje marrësit sipas pikës 3 të nenit 55 të këtij ligji.
Neni 91
Kërkesa për urdhër paraprak kufizimi
Gjatë procedurës së ankimit, sipas nenit 86 të këtij ligji, ankuesi mund t’i kërkojë Komisionerit,
në përputhje me nenin 17 të këtij ligji, të lëshojë një urdhër paraprak kufizimi lidhur me veprime
specifike përpunimi nga pala tjetër, për shkak të rrezikut serioz e të pariparueshëm që u kanoset të
drejtave të ankuesit sipas këtij ligji. Komisioneri merr vendim sa më shpejt të jetë e mundur, por,
në çdo rast, jo më vonë se 14 (katërmbëdhjetë) ditë nga data e paraqitjes së kërkesës, nëse bllokimi
i menjëhershëm është i nevojshëm e proporcional. Urdhri mund të shfuqizohet në çdo kohë nga
Komisioneri sipas gjetjeve të hetimit administrativ, në rast të kundërt, është i detyrueshëm për
palën tjetër deri në përfundim të shqyrtimit të çështjes.
KAPITULLI II
SANKSIONET
Neni 92
Sanksionet administrative
49
Shkeljet e këtij ligji nga kontrolluesit ose përpunuesit e të dhënave personale dënohen me
sanksion administrativ në përputhje me nenet vijuese të këtij kapitulli.
Neni 93
Kushtet e përgjithshme për vendosjen e sanksioneve administrative
1. Komisioneri vendos sanksione administrative në përputhje me këtë nen për shkeljet e këtij
ligji, sipas pikave 1, 2 dhe 3, të nenit 94 të këtij ligji, si dhe në përputhje me legjislacionin në fuqi
për kundërvajtjet administrative, në mënyrë të tillë që të jenë efektive, proporcionale dhe me
karakter parandalues.
2. Në varësi të rrethanave për çdo rast individual, sanksionet administrative shoqërohen ose
zëvendësohen me masat korrigjuese, sipas shkronjave “a”–“f”, të pikës 2, të nenit 83 të këtij ligji.
Për të vendosur nëse sanksioni administrativ do të vendoset ose jo, si dhe masën e tij në secilin rast,
mbahen në konsideratë:
a) natyra, rëndësia dhe kohëzgjatja e shkeljes, duke marrë parasysh natyrën, objektin ose
qëllimin e përpunimit në fjalë, si dhe numrin e subjekteve të të dhënave të përfshirë dhe nivelin e
dëmit të shkaktuar ndaj tyre;
b) kryerja e shkeljes me dashje ose nga pakujdesia;
c) çdo veprim që kontrolluesi ose përpunuesi ka ndërmarrë për të zbutur dëmin e pësuar nga
subjektet e të dhënave;
ç) shkalla e përgjegjësisë së kontrolluesit ose përpunuesit, duke marrë parasysh masat teknike
dhe organizative të zbatuara prej tyre, në përputhje me nenet 23 e 28 të këtij ligji;
d) çdo shkelje të ngjashme të mëparshme të kryer nga kontrolluesi ose përpunuesi;
dh) shkalla e bashkëpunimit me Komisionerin për korrigjimin e shkeljes dhe zbutjen e efekteve
të mundshme negative të saj;
e) kategoritë e të dhënave personale të prekura nga shkelja;
ë) mënyra me të cilën Komisioneri është vendosur në dijeni të shkeljes, veçanërisht nëse
kontrolluesi ose përpunuesi kanë njoftuar për shkeljen, dhe, nëse po, deri në çfarë mase e kanë bërë
këtë;
f) zbatimi i masave korrigjuese, kur përpara shkeljes këto masa janë dhënë ndaj kontrolluesit
ose përpunuesit në lidhje me të njëjtën çështje;
g) respektimi i kodeve të miratuara të sjelljes në përputhje me nenin 35 të këtij ligji, ose
mekanizmat e miratuar të certifikimit në përputhje me nenin 38 të këtij ligji; dhe
gj) çdo rrethanë tjetër rënduese ose lehtësuese, që lidhet me rrethanat e çështjes, si përfitimet
financiare ose humbjet e shmangura, në mënyrë të drejtpërdrejtë ose tërthorazi nga shkelja.
3. Nëse një kontrollues ose përpunues, me dashje ose si pasojë e pakujdesisë në formën e
neglizhencës, për të njëjtat veprime përpunimi ose për veprime të lidhura me të, shkel disa dispozita
të këtij ligji, shuma totale e sanksionit administrativ nuk tejkalon shumën e parashikuar për shkeljen
më të rëndë.
Neni 94
Masa e sanksionit
1. Bazuar edhe në rrethanat e përcaktuara në pikën 2 të nenit 93 të këtij ligji, përbëjnë
kundërvajtje administrative dhe dënohen me gjobë deri në 1 000 000 000 (një miliard) lekë, ose në
rastin e një shoqërie tregtare deri në 2% të xhiros totale vjetore globale për vitin financiar
paraardhës, cilado është më e lartë, shkeljet e detyrimeve:
a) të kontrolluesit dhe përpunuesit, sipas neneve 8, pika 6, e 11, të kapitullit III, të pjesës II të
këtij ligji, me përjashtim të nenit 22 të këtij ligji;
b) të organizmit certifikues në përputhje me nenet 37 e 38, të këtij ligji;
c) të organit monitorues, sipas pikës 3, të nenit 36 të këtij ligji.
50
2. Bazuar edhe në rrethanat e përcaktuara në pikën 2 të nenit 93, përbëjnë kundërvajtje
administrative dhe dënohen me gjobë deri në 2 000 000 000 (dy miliardë) lekë, ose në rastin e një
shoqërie tregtare, deri në 4% të xhiros totale vjetore globale për vitin financiar paraardhës, cilado
që është më e lartë, shkeljet e mëposhtme:
a) moszbatimi i parimeve themelore të përpunimit, përfshirë kushtet për dhënien e pëlqimit,
sipas neneve 6, 7, 8 e 9, të këtij ligji;
b) shkeljet e të drejtave të subjekteve të të dhënave sipas neneve 12–20 të këtij ligji;
c) transferimet e të dhënave personale te një marrës në një vend të tretë ose një organizatë
ndërkombëtare, në kundërshtim me nenet 39–42 të këtij ligji;
ç) shkelja e detyrimeve, sipas neneve 43–46 të këtij ligji.
3. Shkelja e detyrimit për bashkëpunim apo e çdo akti të Komisionerit, sipas pikës 1 të nenit 83
të këtij ligji, moszbatimi i një urdhri apo kufizimi të përkohshëm ose përfundimtar të përpunimit
ose për pezullimin e shkëmbimit të të dhënave, i nxjerrë nga Komisioneri, sipas shkronjës “b” të
pikës 2, të nenit 83 të këtij ligji, bazuar edhe në rrethanat e përcaktuara në pikën 2 të nenit 93 të
këtij ligji, përbën kundërvajtje administrative dhe dënohet me gjobë deri në 2 000 000 000 (dy
miliardë) lekë, ose në rastin e një shoqërie tregtare, deri në 4% të xhiros totale vjetore globale për
vitin financiar paraardhës, cilado që është më e lartë.
4. Pa cenuar kompetencat ndihmëse të tij në nenin 83, pika 2, Komisioneri përcakton me
udhëzim rregullat nëse dhe në çfarë mase mund të vendosen sanksionet administrative të
parashikuara në paragrafët 1, 2 dhe 3, të këtij neni. Ky udhëzim do të bazohet në udhëzuesin e
miratuar nga Bordi Europian për Mbrojtjen e të Dhënave Personale.
Neni 95
Ankimi ndaj vendimit dhe ekzekutimi i gjobës
1. Kundër vendimit për vendosjen e gjobës, kontrolluesi ose përpunuesi ka të drejtë të paraqesë
ankim në gjykatën kompetente sipas legjislacionit në fuqi.
2. Ekzekutimi i gjobave në zbatim të këtij ligji bëhet sipas legjislacionit në fuqi për kundërvajtjet
administrative.
3. Gjobat arkëtohen në buxhetin e shtetit.
PJESA VI
DISPOZITA KALIMTARE DHE TË FUNDIT
Neni 96
Dispozita kalimtare
1. Kërkesat, ankesat dhe kundërvajtjet, të cilat në datën e hyrjes në fuqi të këtij ligji janë në
proces shqyrtimi nga Komisioneri ose nga gjykata, trajtohen sipas dispozitave në fuqi të ligjit në
kohën e paraqitjes së tyre dhe në kohën e kryerjes së shkeljes.
2. Mandati i Komisionerit në detyrë përfundon në përputhje me parashikimet e pikës 1 të nenit
80 të këtij ligji.
3. Çdo autoritet publik, brenda një periudhe 3-vjeçare nga data e miratimit të këtij ligji, vlerëson
përputhshmërinë e ligjeve, të rregulloreve dhe të akteve nënligjore ekzistuese me këtë ligj.
4. Kur ka mospërputhje ose vakum me këtë ligj, veçanërisht me nenet 7, pikat 2 e 3, 20, pika
2, shkronja “b”, 21, pika 2, e 48, pika 2, të këtij ligji, të identifikuara gjatë vlerësimit, autoriteti publik
përkatës duhet të ndryshojë ose të propozojë menjëherë ndryshime në legjislacionin dhe në aktet
nënligjore përkatëse për t’i sjellë ato në përputhje me këtë ligj.
Neni 97
Aktet nënligjore
51
1. Ngarkohet Këshilli i Ministrave që brenda 3 muajve nga hyrja në fuqi e këtij ligji të nxjerrë
aktet nënligjore në zbatim të pikës 3 të nenit 77 të këtij ligji.
2. Ngarkohet Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale
që brenda 3 muajve nga hyrja në fuqi e këtij ligji të miratojë aktet nënligjore në zbatim të neneve
31, pika 7; 36, pika 2; 37, pika 1; 38, pika 1; 40, pika 2; 43, pika 2; 65, pika 4; 66, pika 4; 82, pika 1,
shkronja “d”, e 94, pika 4, të këtij ligji.
Neni 98
Referencat në legjislacionin në fuqi
Me hyrjen në fuqi të këtij ligji, çdo referim që dispozitat ligjore dhe nënligjore bëjnë në ligjin nr.
9887, datë 10.3.2008, “Për mbrojtjen e të dhënave personale”, i ndryshuar, apo dispozita të veçanta
të tij, vlerësohet si i bërë në këtë ligj, për aq sa është e mundur.
Neni 99
Shfuqizime
1. Ligji nr. 9887, datë 10.3.2008, “Për mbrojtjen e të dhënave personale”, i ndryshuar,
shfuqizohet me hyrjen në fuqi të këtij ligji.
2. Aktet nënligjore të miratuara në zbatim të ligjit nr. 9887, datë 10.3.2008, “Për mbrojtjen e të
dhënave personale”, i ndryshuar, mbeten në fuqi deri në miratimin e akteve të reja nënligjore, për
sa nuk bien në kundërshtim me parashikimet e këtij ligji.
3. Vendimet dhe autorizimet e lëshuara para datës së hyrjes në fuqi të këtij ligji mbeten në fuqi
për sa kohë nuk bien në kundërshtim me parashikimet e këtij ligji.
4. Marrëveshjet ndërkombëtare, që përfshijnë transferimin e të dhënave personale te vende të
treta apo organizata ndërkombëtare, të lidhura përpara hyrjes në fuqi të këtij ligji dhe të cilat janë
në përputhje me ligjin nr. 9887, datë 10.3.2008, “Për mbrojtjen e të dhënave personale”, i
ndryshuar, mbeten në fuqi deri në momentin e ndryshimit, të zëvendësimit apo të denoncimit të
tyre.
Neni 100
Shfuqizime në datën e anëtarësimit të Republikës së Shqipërisë në Bashkimin
Evropian
1. Në datën e anëtarësimit të Republikës së Shqipërisë në Bashkimin Evropian, të gjitha
dispozitat e këtij ligji shfuqizohen, me përjashtim të dispozitave të pjesës III dhe pjesës IV, të këtij
ligji.
2. Dispozitat e këtij ligji që referohen nga dizpozitat e pjesës III qëndrojnë në fuqi dhe zbatohen
vetëm për përpunimin e të dhënave personale nga autoritetet kompetente për qëllime të
parandalimit, hetimit, zbulimit ose ndjekjes së veprave penale ose ekzekutimit të dënimeve penale,
duke përfshirë mbrojtjen dhe parandalimin e kërcënimeve ndaj sigurisë publike, mbrojtjes dhe
sigurisë kombëtare.
Neni 101
Hyrja në fuqi
1. Ky ligj hyn në fuqi 15 ditë pas botimit në Fletoren Zyrtare.
2. Përjashtimisht, nenet 29, pika 3, 31, 32, 35, 36, 64, 65 e 67, pikat 2, 3 dhe 5, të këtij ligji hyjnë
në fuqi 2 (dy) vjet pas botimit të tij në Fletoren Zyrtare.
52
Miratuar në datën 19.12.2024.
Shpallur me dekretin nr. 5, datë 15.1.2025, të Presidentit të Republikës së Shqipërisë,
Bajram Begaj