25
SHK
2015

Nr. 9887, datë 10.03.2008, ndryshuar me ligjin Nr. 48/2012 – “PËR MBROJTJEN E TË DHËNAVE PERSONALE”

LIGJ

Nr. 9887, datë 10.03.2008, ndryshuar me ligjin Nr. 48/2012

“PËR MBROJTJEN E TË DHËNAVE PERSONALE”

Në  mbështetje  të  neneve  78  dhe  83  pika  1  të  Kushtetutës,  me  propozimin  e Këshillit  të Ministrave,

KUVENDI I REPUBLIKËS SË SHQIPËRISË

VENDOSI:

KREU I

DISPOZITA TË PËRGJITHSHME

Neni 1

Objekti

Ky ligj ka për objekt përcaktimin e rregullave për mbrojtjen dhe përpunimin e ligjshëm të të dhënave personale.

Neni 2

Parim i përgjithshëm

Përpunimi i ligjshëm i të dhënave personale bëhet duke respektuar dhe garantuar të drejtat dhe liritë themelore të njeriut dhe, në veçanti, të drejtën e ruajtjes së jetës private.

Neni 3

Përkufizime

Në këtë ligj termat e mëposhtëm kanë këto kuptime:

  1. “Të dhëna personale” është çdo informacion në lidhje me një person fizik, të identifikuar ose të identifikueshëm, direkt ose indirekt, në veçanti duke iu referuar një numri identifikimi ose një a më shumë faktorëve të veçantë për identitetin e tij  fizik,  fiziologjik,  mendor,  ekonomik, kulturor apo social.
  1. “E dhënë gjyqësore” është çdo e dhënë lidhur me vendimet në  fushën e gjykimeve penale, civile, administrative apo me dokumentimet në regjistrat penalë, civilë, ato të dënimeve administrative etj.
  2. “E dhënë anonime” është çdo e dhënë, që në origjinë ose gjatë përpunimit, nuk mund t’i shoqërohet një individi, të identifikuar ose të identifikueshëm.
  1. “Të dhëna sensitive” është çdo informacion për personin fizik, që ka të bëjë me origjinën e tij, racore ose etnike, mendimet politike, anëtarësimin në sindikata, besimin, fetar apo filozofik, dënimin penal, si dhe të dhëna për shëndetin dhe jetën seksuale.
  2. “Kontrollues” është çdo person fizik ose juridik, autoritet publik, agjenci apo ndonjë organ tjetër që, vetëm apo së bashku me të tjerë, përcakton qëllimet dhe mënyrat e përpunimit të të dhënave personale, në përputhje me ligjet dhe aktet nënligjore të fushës, dhe përgjigjet për përmbushjen e detyrimeve të përcaktuara në këtë ligj.
  3. “Subjekt i të dhënave personale” është çdo person fizik, të cilit i përpunohen të dhënat personale.
  4. “Përpunues” është çdo person fizik ose juridik, autoritet publik, agjenci apo ndonjë organ tjetër që përpunon të dhëna personale në emër të kontrolluesit.
  1. 8. “Sistem arkivimi” është çdo grup i strukturuar i të dhënave personale, të cilat janë të aksesueshme në bazë të kritereve specifike, të centralizuara, të decentralizuara ose të shpërndara në një bazë, funksionale ose gjeografike.
  2. “Mjete përpunimi” janë mjetet automatike, gjysmautomatike dhe mekanike që përpunojnë të dhëna personale.
  1. “Instrumentet  elektronike”  janë   kompjuteri,  programet  kompjuterike  dhe  çdo  mjet, elektronik ose automatik, me të cilat bëhet përpunimi.
  2. “Tregtim i drejtpërdrejtë” është komunikimi me çdo mjet dhe mënyrë i materialit reklamues, duke përdorur të dhënat personale të personave fizikë ose juridikë, të agjencive ose njësive të tjera, me ose pa ndërmjetësim.
  3. “Përpunim i të dhënave personale” është çdo veprim ose grup veprimesh, të cilat janë kryer mbi të dhënat personale, me mjete automatike ose jo, të tilla si mbledhja, regjistrimi, organizimi, ruajtja, përshtatja ose ndryshimi, rikthimi, konsultimi, shfrytëzimi, transmetimi, shpërndarja ose ndryshe duke vënë në dispozicion, shtrirja ose kombinimi, fotografimi, pasqyrimi, hedhja, plotësimi, seleksionimi, bllokimi, asgjësimi ose shkatërrimi, edhe në qoftë se nuk janë të regjistruara në një bankë të dhënash.
  4. “Marrës” është çdo person fizik ose juridik, autoritet publik, agjenci apo ndonjë organ tjetër të cilit i janë dhënë të dhënat e një palë të tretë ose jo. Autoritetet, të cilat mund të marrin të dhëna në kuadrin e një hetimi të veçantë, nuk konsiderohen si marrës.
  1. “I ngarkuar” është personi që kryen përpunimin e të dhënave, me autorizim nga titullari ose personi përgjegjës.
  2. “Palë e tretë” është çdo person fizik ose juridik, autoritet publik, agjenci apo ndonjë organ tjetër, përveç subjektit të të dhënave, kontrolluesit, përpunuesit dhe personave, të cilët, nën autoritetin e drejtpërdrejtë të kontrolluesit apo përpunuesit, janë të autorizuar të përpunojnë të dhëna.
  3. “Transmetim” është transferimi i të dhënave personale te marrësit.
  1. “Mbikëqyrje” është ndjekja me kujdes e përpunimit të të dhënave personale nga të gjithë kontrolluesit dhe përpunuesit, nëpërmjet bashkëpunimit, kontrollit, hetimit administrativ dhe inspektimit, për parandalimin e shkeljeve dhe, kur ka vend, edhe vendosja e sanksioneve administrative për të siguruar zbatimin e urdhrave, të udhëzimeve dhe rekomandimeve të Komisionerit, duke respektuar të drejtat dhe liritë themelore të njeriut.
  2. “Monitorim i të dhënave personale” është puna e vazhdueshme, gjithëpërfshirëse, efikase dhe e planifikuar e institucionit në këto drejtime: udhëheqje, drejtim, organizim, ndihmë, bashkëpunim, takime sensibilizimi  e  njohjeje,  orientim,  raportim  në  Kuvend,  publikim, shpjegime të ndryshme, dhënie përgjigjeje të ankimeve, veprimtari, seminare e leksione, aktivitete, dokumentim, hartim rregullash, marrëveshje, kontrata, udhëzime, vendime, rekomandime, kontroll i zbatimit të gjobave, krijim e hapje e regjistrave, si dhe për çështje të tjera që lidhen me ushtrimin e rregullt të veprimtarisë.
  3. “Komunikim” është komunikimi i të dhënave personale një ose më shumë subjekteve të caktuara, të ndryshme nga i interesuari, nga përfaqësuesi i titullarit në territorin e vendit, nga përgjegjësit dhe të ngarkuarit, në çdo formë, edhe  përmes  vënies në dispozicion ose për konsultime.
  4. “Përhapje” është komunikimi i informacionit për të dhënat personale palëve të papërcaktuara, në çfarëdo forme, edhe përmes vënies në dispozicion ose konsultimit.
  5. “Bllokim” është ruajtja e të dhënave personale duke pezulluar përkohësisht çdo veprim tjetër përpunimi.
  6. “Transferim ndërkombëtar” është dhënia e të dhënave personale marrësve në shtetet e huaja.
  7. “Vendimmarrje automatike” është një lloj vlerësimi për individët, i kryer krejtësisht në mënyrë automatike, pa ndërhyrjen e individit.
  1. “Pëlqim i subjekteve të të dhënave” është çdo deklaratë me shkrim, e dhënë shprehimisht me vullnet të plotë e të lirë dhe duke qenë në dijeni të plotë për arsyen  pse të dhënat  do  të përpunohen, çka nënkupton që subjekti i të dhënave pranon që të përpunohen të dhënat e tij.
  2. “Qëllimi historik” është qëllimi për studime, hulumtime, kërkime dhe dokumentim të figurave, fakteve dhe rrethanave të së kaluarës.
  3. “Qëllimi statistikor”  është  qëllimi  për  hulumtime  statistikore,  prodhim  të  të  dhënavestatistikore edhe nëpërmjet sistemit informativ statistikor.
  1. “Qëllimi shkencor” është qëllimi për studime dhe hulumtime sistematike, që finalizon zhvillimin e dijeve shkencore në një sektor të caktuar.

Neni 4

Fusha e zbatimit

1. Ky ligj zbatohet për përpunimin e të dhënave personale, plotësisht ose pjesërisht, nëpërmjet mjeteve automatike, si dhe për përpunimin me mjete të tjera të të dhënave personale, që mbahen në një sistem  arkivimi  apo  kanë  për  qëllim  të  formojnë  pjesë  të  sistemit  të  arkivimit.

2. Ky ligj zbatohet për përpunimin e të dhënave personale nga:

a) kontrollues të vendosur në Republikën e Shqipërisë;

b) misionet diplomatike ose zyrat konsullore të shtetit shqiptar;

c) kontrollues, të cilët nuk janë të vendosur në Republikën e Shqipërisë, por që e ushtrojnë veprimtarinë nëpërmjet përdorimit  të  çdo  mjeti,  që  ndodhet  në Republikën  e  Shqipërisë.

3. Në rastet e parashikuara në shkronjën “c” të pikës 2 të këtij neni, kontrolluesi cakton një përfaqësues, i cili duhet të jetë i vendosur në Republikën e Shqipërisë. Parashikimet e këtij ligji, që zbatohen nga kontrolluesit, zbatohen edhe për përfaqësuesit e tyre.

3/1. Ky ligj zbatohet edhe për autoritetet zyrtare që përpunojnë të dhëna personale në fushat e parashikuara në pikën 2, të nenit 6, të këtij ligji.

4. Ky ligj nuk zbatohet për përpunimin e të dhënave:

a) për persona fizikë, për qëllime thjesht familjare ose personale;

b) vetëm për rastet kur jepet informacion për persona publikë zyrtarë ose punonjës të administratës publike (shtetërore), nëpërmjet të cilit pasqyrohet aktiviteti publik, administratativ ose çështje lidhur me detyrën e tyre.

KREU II

PËRPUNIMI I TË DHËNAVE PERSONALE

Neni 5

Mbrojtja e të dhënave personale

1. Mbrojtja e të dhënave personale bazohet:

a) në përpunimin në mënyrë të drejtë dhe të ligjshme;

b) në grumbullimin për qëllime specifike, të përcaktuara qartë, e legjitime dhe në përpunimin në përputhje me këto qëllime;

c) në mjaftueshmërinë e të dhënave, të cilat duhet të lidhen me qëllimin e përpunimit dhe të mos e tejkalojnë këtë qëllim;

ç) në saktësinë që të dhënat duhet të kenë dhe, kur është e nevojshme, duhet të përditësohen; duhet ndërmarrë çdo hap i arsyeshëm për të fshirë apo korrigjuar të dhëna të pasakta apo të paplota, në lidhje me qëllimin për të cilin janë mbledhur apo për të cilin përpunohen më tej; d) në mbajtjen në atë formë, që të lejojë identifikimin e subjekteve të të dhënave për një kohë, por jo më tepër sesa është e nevojshme për qëllimin, për të cilin ato janë grumbulluar ose përpunuar më tej.

2. Kontrolluesi është përgjegjës për zbatimin e këtyre kërkesave në të gjitha përpunimet automatike ose me mjete të tjera të të dhënave.

Neni 6

Kriteret ligjore për përpunimin

1. Të dhënat personale përpunohen vetëm:

a) nëse subjekti i të dhënave personale ka dhënë pëlqimin;

b) nëse përpunimi është thelbësor për përmbushjen e një kontrate, për të cilën subjekti i të dhënave është palë kontraktuese, apo për diskutime ose ndryshime të një projekti/kontrate me propozimin e subjektit të të dhënave;

c) për të mbrojtur interesat jetikë të subjektit të të dhënave;

ç) për përmbushjen e një detyrimi ligjor të kontrolluesit;

d) për kryerjen e një detyre ligjore me interes publik ose ushtrimin e një kompetence të kontrolluesit ose    të    një    pale    të    tretë,    së    cilës    i    janë    përhapur    të    dhënat; dh) nëse është thelbësor për mbrojtjen e të drejtave dhe interesave legjitime të kontrolluesit, marrësit apo personave të tjerë të interesua Por, në çdo rast, përpunimi i të dhënave personale nuk mund të jetë në kundërshtim të hapur me të drejtën e subjektit të të dhënave për mbrojtjen e jetës personale dhe private.

2. Përpunimi i të dhënave personale, të përcaktuara në kuadër të veprimtarive të parandalimit dhe ndjekjes penale, për kryerjen e një vepre penale kundër rendit publik dhe të veprave të tjera në fushën e të drejtës penale, si dhe në fushën e mbrojtjes dhe sigurisë kombëtare, kryhet nga autoritetet zyrtare të përcaktuara në ligj.

3. Kontrolluesi apo përpunuesi, që merret me përpunimin e të dhënave personale, me qëllim ofrimin e mundësive për biznes apo të shërbimeve, mund të përdorë për këtë qëllim të dhëna personale të marra nga lista publike të dhënash. Kontrolluesi apo  përpunuesi nuk mund të vazhdojë përpunimin më tej të të dhënave të specifikuara në këtë paragraf, nëse subjekti i të dhënave ka shprehur mospajtim ose ka kundërshtuar përpunimin e mëtejshëm të tyre. Asnjë e dhënë personale shtesë nuk mund t’i bashkëlidhet të dhënave të specifikuara më lart, pa pëlqimin e subjektit të të dhënave.

4. Kontrolluesit i lejohet të mbajë në sistemin e vet të arkivimit të dhënat personale edhe pasi subjekti ka kundërshtuar përpunimin, sipas pikës 3 të këtij neni. Këto të dhëna mund të përdoren përsëri vetëm nëse subjekti i të dhënave personale jep pëlqimin.

5. Mbledhja e të dhënave personale, që lidhen në mënyrë unike me një subjekt të dhënash, për arsye të tregtimit të drejtpërdrejtë, lejohet vetëm nëse subjekti i të dhënave ka dhënë pëlqimin e shprehur qartë.

Neni 7

Përpunimi i të dhënave sensitive

1. Me përjashtim të rasteve të parashikuara në pikat 2 dhe 3 të këtij neni, ndalohet përpunimi i të dhënave, që zbulojnë origjinën racore ose etnike, mendimet politike, anëtarësinë në sindikata, besimin   fetar   apo   filozofik,   dënimet   penale,   si   dhe   shëndetin   dhe   jetën   seksuale.

2. Përpunimi i të dhënave sensitive bëhet vetëm nëse:

a) subjekti i të dhënave ka dhënë pëlqimin, që mund të revokohet në çdo çast dhe e bën të paligjshëm përpunimin e mëtejshëm të të dhënave;

b) është në interesin jetik të subjektit të të dhënave ose të një personi tjetër dhe subjekti i të dhënave është fizikisht ose mendërisht i paaftë për të dhënë pëlqimin e vet;

c) autorizohet nga autoriteti përgjegjës për një interes të rëndësishëm publik, nën masa të përshtatshme mbrojtëse;

ç) lidhet  me të dhëna,  që janë bërë haptazi  publike nga subjekti  i  të  dhënave ose është  i nevojshëm për ushtrimin apo mbrojtjen e një të drejte ligjore;

d) të dhënat përpunohen për qëllime historike, shkencore ose statistikore, nën masa të përshtatshme mbrojtëse;

dh) të dhënat kërkohen për qëllime të mjekësisë parandaluese, diagnostikimit mjekësor, sigurimit

të kujdesit shëndetësor, kurimit, menaxhimit të shërbimeve të kujdesit shëndetësor dhe përdorimi i tyre kryhet nga personeli mjekësor ose persona të tjerë, që kanë detyrimin për ruajtjen e fshehtësisë;

e) të dhënat   përpunohen   nga  organizatat   jofitimprurëse  politike,   filozofike,  fetare   ose sindikaliste, për qëllime të veprimtarisë të tyre të ligjshme, vetëm për anëtarët, sponsorizuesit ose personat e tjerë, që kanë lidhje me veprimtarinë e tyre. Këto të dhëna nuk u bëhen të ditura një pale të tretë, pa pëlqimin e subjektit të të dhënave, përveç kur parashikohet ndryshe në ligj;

ë) përpunimi është i nevojshëm për përmbushjen e detyrimit ligjor dhe të të drejtave specifike të kontrolluesit në fushën e punësimit, në përputhje me Kodin e Punës.

Neni 8

Transferimi ndërkombëtar

1. Transferimi ndërkombëtar i të dhënave personale kryhet, me marrës, nga shtete me një nivel të mjaftueshëm të mbrojtjes së të dhënave personale. Niveli i mbrojtjes së të dhënave personale për një shtet përcaktohet duke vlerësuar të gjitha rrethanat lidhur me përpunimin, natyrën, qëllimin dhe kohëzgjatjen e tij, shtetin e origjinës dhe destinacionin përfundimtar, aktet ligjore dhe standardet e sigurisë në fuqi në shtetin marrës. Shtetet, që kanë nivel të mjaftueshëm të mbrojtjes së të dhënave, përcaktohen me vendim të Komisionerit.

2. Transferimi ndërkombëtar i të dhënave personale me një shtet, që nuk ka nivel të mjaftueshëm të mbrojtjes së të dhënave personale mund të bëhet nëse:

a) autorizohet nga akte ndërkombëtare, të ratifikuara nga Republika e Shqipërisë dhe që janë të zbatueshme në mënyrë të drejtpërdrejtë;

b) subjekti i të dhënave ka dhënë pëlqimin për transferim ndërkombëtar;

c) transferimi është i nevojshëm për kryerjen e kontratës ndërmjet subjektit të të dhënave dhe kontrolluesit ose për zbatimin e masave parakontraktore, të marra si përgjigje ndaj kërkesës së subjektit,  ose  transferimi  është  i  nevojshëm  për  përmbushjen  apo  kryerjen  e  një  kontrate ndërmjet   kontrolluesit   dhe   një   pale   të   tretë,   në   interes   të   subjektit   të   të   dhënave;

d) është  i  nevojshëm  për  mbrojtjen  e  interesave  jetësorë  të  subjektit  të  të  dhënave; dh) është i nevojshëm apo përbën një kërkesë ligjore për një interes të rëndësishëm publik ose për ushtrimin dhe mbrojtjen e një të drejte ligjore;

e) është bërë nga një regjistër, i cili është i hapur për këshillime dhe siguron informacion për publikun në përgjithësi.

3. Shkëmbimi i të dhënave personale me përfaqësitë diplomatike të qeverive të huaja ose institucionet ndërkombëtare në Republikën e Shqipërisë vlerësohet transferim ndërkombëtar.

Neni 9

Transferimi ndërkombëtar i të dhënave që duhet të autorizohen

  1. Transferimi ndërkombëtar i të dhënave personale me një shtet, që nuk ka nivel të mjaftueshëm të mbrojtjes së të dhënave, në raste të tjera nga ato të parashikuara në nenin 8 të këtij ligji, bëhet me autorizim të komisionerit kur parashtrohen siguri të mjaftueshme në lidhje me mbrojtjen e privatësisë dhe të të drejtave e lirive themelore të njeriut, si dhe në lidhje me ushtrimin e së drejtës përkatëse.
  2. Komisioneri, pasi bën vlerësimin sipas përcaktimeve të pikës 1 të këtij neni dhe të pikës 1 të nenit 8, mund të japë autorizimin për transferimin e të dhënave personale në shtetin marrës, duke përcaktuar kushte dhe detyrime.
  3. Komisioneri nxjerr udhëzime për lejimin e disa kategorive të transferimeve ndërkombëtare të të dhënave personale në një shtet që nuk ka nivel të mjaftueshëm të mbrojtjes së të dhënave personale. Në këto raste, kontrolluesi përjashtohet nga kërkesa për autorizim.
  4. Kontrolluesi, përpara transferimit të të dhënave, bën kërkesë për autorizim te komisioneri. Në kërkesë kontrolluesi duhet të garantojë respektimin e interesave për ruajtjen e sekretit të subjektit të të dhënave jashtë Republikës së Shqipërisë.

KREU III

PËRPUNIMI I VEÇANTË I TË DHËNAVE

Neni 10

Përpunimi për qëllime historike, shkencore dhe statistikore

  1. Të dhënat personale, të mbledhura për çfarëdolloj qëllimi, mund të përpunohen më tej për qëllime historike, shkencore ose statistikore, duke siguruar se nuk janë përpunuar, për të marrë masa ose vendime për një individ.
  1. Transmetimi i të dhënave sensitive për kërkimet shkencore bëhet vetëm kur ekziston një interes i rëndësishëm publik. Të dhënat personale përdoren vetëm nga persona, të cilët janë të detyruar të ruajnë konfidencialitetin.
  2. Në rastet kur përdorimi i të dhënave bëhet në një formë, që lejon identifikimin e subjektit të të dhënave, të dhënat duhet të kodohen menjëherë, në mënyrë që subjektet të mos jenë më të identifikueshme. Të dhënat personale të koduara përdoren vetëm nga persona, të cilët janë të detyruar të ruajnë konfidencialitetin.

Neni 11

Përpunimi i të dhënave personale dhe e liria të shprehurit

  1. Komisioneri përcakton me udhëzim të veçantë kushtet dhe kriteret kur, për qëllime gazetarie, letrare dhe artistike, mund të bëhen përjashtime nga detyrimet që rrjedhin nga nenet 5, 6, 7, 8, 18 dhe 21 të këtij ligji.
  2. Përjashtimet, sipas këtij neni, mund të lejohen deri në atë masë, për aq sa ato pajtojnë të drejtën për mbrojtjen e të dhënave personale me rregullat që administrojnë lirinë e informimit.
  3. Veprimet e kontrolluesit ose përpunuesit, në kundërshtim me pikat e mësipërme dhe kodin etik përbëjnë kundërvajtje administrative.

KREU IV

TË DREJTAT E SUBJEKTIT TË TË DHËNAVE

Neni 12

E drejta për akses

1. Çdo person ka të drejtë që pa pagesë me kërkesë me shkrim, të marrë nga kontrolluesi:

a) konfirmimin nëse të dhënat personale po i përpunohen ose jo, informacion për qëllimin e përpunimit, për kategoritë e të dhënave të përpunuara dhe për marrësit e kategoritë e marrësve, të cilëve u përhapen të dhënat personale;

b) në një formë të kuptueshme, të dhënat personale dhe informacionin e disponueshëm për burimin e tyre;

c) në rastet e vendimeve automatike, sipas nenit 14 të këtij ligji, informacion për logjikën e përfshirë në vendimmarrje. Informacioni për të dhënat komunikohet në formën, në të cilën ishin në kohën kur është bërë kërkesa.

2. Kontrolluesi, brenda 30 ditëve nga data e marrjes së kërkesës, informon subjektin e të dhënave ose i shpjegon atij arsyet e mosdhënies së informacionit.

3. E drejta për akses, sipas pikës 1 të këtij neni, ushtrohet në përputhje me parimet kushtetuese të lirisë së shprehjes dhe informacionit, lirisë së shtypit dhe sekretit profesional dhe mund të kufizohet, nëse cenon interesat e sigurisë kombëtare, politikën e jashtme, interesat ekonomikë dhe financiarë të shtetit, parandalimin dhe ndjekjen e veprave penale.

4. E drejta e aksesit nuk mund të ushtrohet në rastet e parashikuara në pikën 1 të nenit 10 të këtij ligji.

5. Në rast se aksesi mohohet, duke argumentuar se cenohen interesat e sigurisë kombëtare, politika e jashtme, interesat ekonomikë dhe financiarë të shtetit, parandalimi dhe ndjekja e veprave penale ose liria e shprehjes dhe informimit apo liria e shtypit, subjekti i të dhënave mund t’i kërkojë komisionerit të kontrollojë përjashtimin në rastin konkret. Komisioneri informon subjektin e të dhënave për masat e marra.

Neni 13

E drejta për të kërkuar bllokimin, korrigjimin ose fshirjen

  1. Çdo subjekt i të dhënave ka të drejtë të kërkojë bllokimin, korrigjimin ose fshirjen e të dhënave pa pagesë, kur vihet në dijeni se të dhënat rreth tij nuk janë të rregullta, të vërteta, të plota ose   janë   përpunuar   dhe   mbledhur   në   kundërshtim   me   dispozitat   e   këtij   ligji.
  2. Kontrolluesi, brenda 30 ditëve nga data e marrjes së kërkesës së subjektit të të dhënave, duhet ta informojë atë për përpunimin e ligjshëm të të dhënave, kryerjen ose moskryerjen e bllokimit, korrigjimit apo të fshirjes.
  3. Kur kontrolluesi nuk bën bllokimin, korrigjimin ose fshirjen e të dhënave të kërkuara prej tij, subjekti i të dhënave ka të drejtë të ankohet te komisioneri.

Neni 14

Vendimmarrja automatike

  1. Çdo person ka të drejtë të mos jetë subjekt i vendimeve, të cilat shkaktojnë efekte ligjore për të ose ndikojnë në mënyrë të rëndësishme tek ai dhe kur vendimi është bazuar vetëm në përpunimin automatik të të dhënave, që synojnë të vlerësojnë disa aspekte personale, që lidhen me të, veçanërisht, efektivitetin në punë, besueshmërinë ose sjelljen.
  2. Një person mund të jetë subjekt i një vendimi të marrë, sipas pikës 1 të këtij neni, kur vendimi: a) është marrë gjatë lidhjes ose zbatimit të një kontrate, nëse kërkesa e paraqitur nga subjekti i të dhënave për lidhjen  ose  zbatimin  e  kontratës  është  përmbushur,  ose  nëse  ka  masa  të përshtatshme për të mbrojtur interesat e tij të ligjshëm, të tillë si mundësi që e lejojnë atë të parashtrojë pikëpamjet e tij;
  3. b) autorizohet nga një ligj, i cili, gjithashtu, parashikon masa për të mbrojtur interesat e ligjshëm të subjektit të të dhënave.

Neni 15

E drejta e subjektit të të dhënave për të kundërshtuar

  1. Subjekti i të dhënave ka të drejtë të kundërshtojë, në çdo kohë, mbështetur në ligj, përpunimin e të dhënave rreth tij, sipas shkronjave “d” dhe “dh” të nenit 6 të këtij ligji, përveç kur parashikohet ndryshe me ligj.
  2. Subjekti i të dhënave ka të drejtë pa pagesë t’i kërkojë kontrolluesit të mos fillojë ose, nëse përpunimi ka filluar, të ndalojë përpunimin e të dhënave personale, që lidhen me të, për qëllime të tregtimit të drejtpërdrejtë si dhe të informohet përpara përhapjes për herë të parë të të dhënave personale për këtë qëllim.

Neni 16

E drejta për t’u ankuar

  1. Çdo person, që pretendon se i janë shkelur të drejtat, liritë dhe interesat e ligjshëm për të dhënat personale, ka të drejtë të ankohet ose të njoftojë komisionerin dhe të kërkojë ndërhyrjen e tij për vënien në vend të së drejtës së shkelur. Pas këtij ankimi, në përputhje me Kodin e Procedurës Civile, subjekti i të dhënave mund të ankohet në gjykatë.
  2. Në rast se subjekti i të dhënave ka bërë ankim, kontrolluesi nuk ka të drejtë të ndryshojë të dhënat personale deri në dhënien e vendimit përfundimtar.

Neni 17

Kompensimi i dëmit

Çdo person, të cilit i është shkaktuar një dëm, si rezultat i përpunimit të paligjshëm të të dhënave personale, ka të drejtë t’i kërkojë kontrolluesit kompensim, sipas rregullave të përcaktuara në Kodin Civil.

KREU V

DETYRIMET E KONTROLLUESIT DHE TË PËRPUNUESIT

Neni 18

Detyrimi për informim

1. Kontrolluesi, kur mbledh të dhëna personale, duhet të informojë subjektin e të dhënave për fushën dhe qëllimin, për të cilin do të përpunohen të dhënat personale, për personin që do t’i përpunojë të dhënat, për mënyrën e përpunimit, përveç rastit kur subjekti i të dhënave është në dijeni të këtij informacioni. Kontrolluesi duhet të informojë subjektin e të dhënave për të drejtën për akses, si dhe të drejtën për korrigjim të të dhënave të tij.

2. Në rast se kontrolluesi përpunon të dhëna personale, të marra nga subjekti i të dhënave, ai është i detyruar të informojë subjektin e të dhënave nëse dhënia e të dhënave personale është e detyrueshme apo vullnetare. Nëse subjekti i të dhënave, në bazë të një akti ligjor ose nënligjor, është i detyruar të japë të dhëna personale për përpunim, kontrolluesi e informon edhe rreth këtij fakti, si dhe rreth pasojave të refuzimit të dhënies së të dhënave personale.

3. Kontrolluesi nuk është i detyruar të japë informacion dhe të informojë për rastet kur të dhënat personale nuk janë marrë nga subjekti i të dhënave, nëse:

a) ai përpunon  të  dhëna  personale  ekskluzivisht  për  qëllime  historike,  statistikore  dhe  për kërkime shkencore dhe nëse dhënia e këtij informacioni është e pamundur, ose kërkon përpjekje joproporcionale;

b) ai detyrohet të kryejë përpunimin e të dhënave personale në bazë të një parashikimi ligjor;

c) ai përpunon të dhëna të bëra publike;

ç) ai përpunon të dhëna personale, të marra me pëlqimin e subjektit të të dhënave.

4. Kontrolluesi, gjatë përpunimit të të dhënave personale, sipas shkronjës “dh” të pikës 1 të nenit 6 dhe shkronjës “ç” të pikës 2 të nenit 7, në lidhje me ushtrimin apo mbrojtjen e të drejtave të ligjshme, është i detyruar të informojë subjektin e të dhënave rreth përpunimit të të dhënave të tij.

5. Detyrimi për informim, që rregullohet me këtë nen, mund të kryhet nga përpunuesi në emër të kontrolluesit.

Neni 19

Detyrimi për korrigjim ose fshirje

  1. Kontrolluesi kryen vetë ose me kërkesë të subjektit të të dhënave bllokimin, korrigjimin ose fshirjen e të dhënave personale, kur vëren se janë të parregullta, të pavërteta, të paplota ose janë përpunuar në kundërshtim me dispozitat e këtij ligji.
  2. Kontrolluesi, brenda 30 ditëve nga marrja e kërkesës së subjektit të të dhënave, informon subjektin e të dhënave për kryerjen apo moskryerjen e bllokimit, korrigjimit ose të fshirjes.
  3. Kontrolluesi informon marrësin e të dhënave personale për korrigjimin ose fshirjen e të dhënave personale, të transmetuara para korrigjimit apo fshirjes.

Neni 20

Detyrimet e përpunuesit

1. Kontrolluesit, për përpunimin e të dhënave personale, mund të punësojnë përpunues, të cilët garantojnë përdorimin e ligjshëm dhe të sigurt të të dhënave. Çdo përpunues i të dhënave personale ka këto detyrime:

a) të përpunojë të dhënat vetëm në përputhje me udhëzimet e kontrolluesit; të mos i transmetojë ato, përveç kur ka marrë udhëzim nga kontrolluesi;

b) të marrë të gjitha masat e sigurisë, sipas këtij ligji dhe të punësojë operatorë, të cilët kanë detyrimin për ruajtjen e fshehtësisë;

c) të krijojë, në marrëveshje me kontrolluesin, kushtet e nevojshme teknike dhe organizative për përmbushjen e detyrimeve të kontrolluesit, për të siguruar të drejtat e subjekteve të të dhënave personale;

ç) t’i dorëzojë kontrolluesit, pas përfundimit të shërbimit të përpunimit, të gjitha rezultatet e përpunimit dhe dokumentacionit, që përmban të dhëna ose t’i mbajë apo t’i shkatërrojë ato me kërkesë të kontrolluesit;

d) të vërë në dispozicion të kontrolluesit të gjithë informacionin e nevojshëm, për të kontrolluar përputhshmërinë me detyrimet, që rrjedhin sipas shkronjave të mësipërme.

2. Detyrimet e pikës 1 përcaktohen në kontratën e shkruar e kontrolluesit me përpunuesin.

KREU VI NJOFTIMI

Neni 21

Përgjegjësia për të njoftuar

  1. Çdo kontrollues duhet të njoftojë komisionerin për përpunimin e të dhënave personale, për të cilat është përgjegjës. Njoftimi duhet të bëhet para se kontrolluesi të përpunojë të dhënat për herë të parë ose kur kërkohet ndryshimi i gjendjes së njoftimit të përpunimit, sipas nenit 22 të këtij ligji, të njoftuar më parë.
  2. Përjashtohet nga detyrimi për të njoftuar përpunimi i të dhënave personale, me qëllim mbajtjen e një regjistri, i cili, në përputhje me ligjin ose aktet nënligjore, siguron informacion për publikun në përgjithësi.
  3. Përjashtohen nga detyrimi për të njoftuar të dhënat personale që përpunohen, me qëllim mbrojtjen e institucioneve kushtetuese, të interesave të sigurisë kombëtare, politikës së jashtme, interesave ekonomikë ose financiarë të shtetit, apo për parandalimin e ndjekjen e veprave penale.
  4. Rastet e  tjera,  për  të  cilat  njoftimi  nuk  është  i  nevojshëm,  përcaktohen  me  vendim  të Komisionerit.

Neni 22

Përmbajtja e njoftimit

Njoftimi duhet të përmbajë:

a) emrin dhe adresën e kontrolluesit;

b) qëllimin e përpunimit të të dhënave personale;

c) kategoritë e subjekteve të të dhënave dhe kategoritë e të dhënave personale;

ç) marrësit dhe kategoritë e marrësve të të dhënave personale;

d) propozimin për transferimet ndërkombëtare që kontrolluesi synon të kryejë;

dh) një përshkrim të përgjithshëm të masave për sigurinë e të dhënave persona

Neni 23

Procedura e shqyrtimit

Komisioneri shqyrton të gjitha njoftimet dhe kur njoftimi është i pamjaftueshëm, ai urdhëron kontrolluesin të plotësojë përmbajtjen e njoftimit, duke përcaktuar edhe afatin kohor.

Nëse kontrolluesi nuk plotëson përmbajtjen e njoftimit brenda afatit të përcaktuar, njoftimi konsiderohet i pakryer.

Neni 24

Kontrolli paraprak

1. Autorizimi i komisionerit kërkohet për:

a) përpunimin e  të  dhënave  sensitive,  sipas  shkronjës  “c”  të  pikës  2  të  nenit  7  të  këtij  ligji;

b) përpunimin e të dhënave personale, sipas pikës 1 të nenit 9 të këtij ligji.

2. Nëse përpunimi i të dhënave, sipas pikës 1 të këtij neni, autorizohet nga një dispozitë ligjore, nuk kërkohet autorizim nga komisioneri.

Neni 25

Fillimi i përpunimit

  1. Përpunimi i të dhënave fillon pas njoftimit.
  2. Përpunimi i të dhënave, për të cilat kërkohet autorizim, sipas pikës 1 të nenit 24 të këtij ligji, mund të fillojë vetëm pas marrjes së autorizimit.

Neni 26

Publikimi i përpunimeve

  1. Për të  dhënat  që  kërkohet  autorizim,  merret  vendim  i  veçantë  dhe  pasqyrohet  në  regjistrin  që administrohet     nga     komisioneri,    i     cili     është     i     hapur    për     njohje     për     çdo    person.
  2. Regjistrimi duhet të përmbajë informacionin, sipas nenit 22 të këtij ligji, përveç informacionit të përcaktuar në shkronjën “dh” të nenit 22 të këtij ligji, i cili nuk publikohet.
  3. Kontrolluesi i përjashtuar nga detyrimi për njoftim duhet të bëjë të disponueshme, të paktën, të dhënat për emrin dhe  adresën,  kategoritë  e  të  dhënave  personale  të  përpunuara,  qëllimet  e  përpunimeve, kategoritë e marrësve. Nëse do  të bëhet  transferim  ndërkombëtar i  të dhënave,  kontrolluesi  është  i  detyruar të njoftojë Komisionerin.
  4. Ky nen nuk zbatohet për përpunime për mbajtjen e një regjistri, i cili, në përputhje me ligjin apo aktet nënligjore, siguron informacion për publikun në përgjithësi.
  5. Komisioneri vendos për çregjistrimin e kontrolluesit, kryesisht ose me kërkesën e tij, nëse qëllimi ose qëllimet, për të cilat është kryer njoftimi dhe regjistrimi, pushojnë së ekzistuari.

KREU VII

SIGURIA E TË DHËNAVE PERSONALE

Neni 27

Masat për sigurinë e të dhënave personale

1. Kontrolluesi ose përpunuesi merr masa organizative dhe teknike të përshtatshme për të mbrojtur të dhënat personale nga shkatërrime të paligjshme, aksidentale, humbje aksidentale, për të mbrojtur aksesin ose përhapjen nga persona të paautorizuar, veçanërisht kur përpunimi i të dhënave bëhet në rrjet, si dhe nga çdo formë tjetër e paligjshme përpunimi.

2. Kontrolluesi merr këto masa të veçanta sigurie:

a) përcakton funksionet ndërmjet njësive organizative dhe operatorëve për përdorimin e të dhënave;

b) përdorimi i  të  dhënave  bëhet  me  urdhër  të  njësive  organizative  ose  të  operatorëve  të autorizuar;

c) udhëzon operatorët, pa përjashtim, për detyrimet që kanë, në përputhje me këtë ligj dhe rregulloret e brendshme për mbrojtjen e të dhënave, përfshirë edhe rregulloret për sigurinë e të dhënave;

ç) ndalon hyrjen në mjediset e kontrolluesit ose të përpunuesit të të dhënave të personave të paautorizuar;

d) hyrja   në   të    dhënat    dhe   programet    bëhet    vetëm    nga   personat    e    autorizuar,

dh) ndalon hyrjen në mjetet e arkivimit dhe përdorimin e tyre nga persona të paautorizuar;

e) vënia në punë e pajisjeve të përpunimit të të dhënave bëhet vetëm me autorizim dhe çdo mjet sigurohet me masa parandaluese ndaj vënies së autorizuar në punë;

ë) regjistron dhe dokumenton modifikimet, korrigjimet, fshirjet, transmetimet etj.

2/1. Kontrolluesi është i detyruar të dokumentojë masat tekniko-organizative të përshtatura dhe të zbatuara për garantimin e mbrojtjes së të dhënave personale, në përputhje me ligjin dhe rregullore të tjera.

3. Të dhënat e regjistruara nuk përdoren për qëllime të ndryshme, që nuk janë në përputhje me qëllimin e grumbullimit. Ndalohet njohja ose çdo përpunim i të dhënave të regjistruara në dosje për një qëllim të ndryshëm nga e drejta për të hedhur të dhëna. Përjashtohet nga ky rregull rasti kur të dhënat përdoren për të garantuar sigurinë kombëtare, sigurinë publike, parandalimin dhe hetimin e kryerjes së një vepre penale,  apo ndjekjen e autorëve të saj, ose për shkelje të etikës për profesionet e rregulluara.

4. Dokumentacioni i të dhënave mbahet për aq kohë sa është i nevojshëm për qëllimin, për të cilin është grumbulluar.

5. Niveli i sigurisë duhet të jetë i përshtatshëm me natyrën e përpunimit të të dhënave personale. Rregulla të hollësishme për sigurimin e të dhënave përcaktohen me vendim të komisionerit.

6. Procedurat e administrimit të regjistrimit të të dhënave, të hedhjes së të dhënave, të përpunimit dhe nxjerrjes së tyre përcaktohen me vendim të komisionerit.

Neni 28

Konfidencialiteti i të dhënave

Kontrolluesit, përpunuesit dhe personat, që vihen në dijeni me të dhënat e përpunuara, gjatë ushtrimit të funksioneve të tyre, detyrohen të ruajnë konfidencialitetin dhe besueshmërinë edhe pas përfundimit të funksionit. Këto të dhëna nuk përhapen, përveç rasteve të parashikuara me ligj.

Çdo  person  që  vepron  nën  autoritetin  e  kontrolluesit,  nuk  duhet t’i përpunojë  të  dhënat personale, tek të cilat ka akses, pa autorizimin e kontrolluesit, përveçse kur detyrohet me ligj.

KREU VIII

KOMISIONERI PËR MBROJTJEN E TË DHËNAVE PERSONALE

Neni 29

Komisioneri

  1. Komisioneri për mbrojtjen e të dhënave personale është autoriteti përgjegjës i pavarur, që mbikëqyr dhe monitoron, në përputhje me ligjin, mbrojtjen e të dhënave personale, duke respektuar e garantuar të drejtat dhe liritë themelore të njeriut.
  2. Komisioneri është person juridik publik.
  3. Informacioni i siguruar nga komisioneri, gjatë ushtrimit të detyrës, përdoret vetëm për qëllime mbikëqyrjeje, në përputhje me legjislacionin për mbrojtjen e të dhënave personale. Komisioneri është i detyruar  të  ruajë  konfidencialitetin  e  të  dhënave  edhe  pas  mbarimit  të  detyrës.

Neni 30

Të drejtat

1. Komisioneri ka këto të drejta:

a) kryen hetim administrativ dhe ka të drejtën e aksesit në përpunimet e të dhënave personale, si dhe ka të drejtë të mbledhë të gjithë informacionin e nevojshëm për përmbushjen e detyrave të mbikëqyrjes;

b) urdhëron bllokimin, fshirjen, shkatërrimin ose pezullon përpunimin e paligjshëm të të dhënave personale;

c) jep   udhëzime   përpara   se   përpunimet   të   kryhen   dhe   siguron   publikimin   e   tyre.

2. Komisioneri, në rast shkeljesh serioze, të përsëritura ose të qëllimshme të ligjit nga një kontrollues ose përpunues, veçanërisht në rastet e përsëritura të moszbatimit të rekomandimeve të tij, vepron sipas nenit 39 të këtij ligji dhe e denoncon publikisht ose e raporton çështjen në Kuvend dhe në Këshillin e Ministrave.

2/1. Për rastet që shkelja përbën vepër penale, bën  kallëzimin përkatës.

Neni 31

Përgjegjësitë

1. Komisioneri është përgjegjës për:

a) dhënien e mendimeve për projekt-aktet, ligjore dhe nënligjore, që kanë të bëjnë me të dhënat personale, si dhe projektet që kërkohen të zbatohen nga kontrolluesit vetëm apo në bashkëpunim me të tjerë;

a/1) dhënien e rekomandimeve   për zbatimin e kërkesave të ligjit për mbrojtjen e të dhënave personale dhe siguron publikimin e tyre;

b) dhënien e autorizimit, në raste të veçanta, për përdorimin e të dhënave personale për qëllime jo të përcaktuara  në  grumbullimin  e  tyre,  duke  respektuar  parimet  e  nenit  5  të  këtij  ligji;

c) dhënien e autorizimit për transferimin ndërkombëtar të të dhënave personale, në përputhje me nenin 9 të këtij ligji;

ç) nxjerrjen e udhëzimeve, ku përcaktohet koha e mbajtjes së të dhënave personale, sipas qëllimit të tyre, në veprimtarinë e sektorëve të veçantë;

d) sigurimin e  së  drejtës  së  informimit  dhe  të  ushtrimit  të  së  drejtës  së  korrigjimit  e  të përditësimit të të dhënave;

dh) dhënien e autorizimit për përdorimin e të dhënave sensitive, në përputhje me shkronjën “c” të pikës 2 të nenit 7 të këtij ligji;

e) kontrollimin e përpunimit të të dhënave, në përputhje me ligjin, kryesisht ose me kërkesë të një personi edhe, kur një përpunim i tillë është i përjashtuar nga e drejta e informacionit dhe vënien në dijeni të personit se kontrolli është kryer, si dhe verifikimin nëse procesi është i ligjshëm ose jo;

ë) zgjidhjen e ankimeve të subjektit të të dhënave për mbrojtjen e të drejtave dhe të lirive të tij, për përpunimet e të dhënave personale dhe vënien e tij në dijeni për zgjidhjen e ankesës së paraqitur;

f) nxjerrjen e udhëzimeve për marrjen e masave të sigurisë në veprimtarinë e sektorëve të veçantë;

g) kontrollin e zbatimit të gjobave;

gj) nxitjen   e   kontrolluesit   për   hartimin   e   kodeve   të   etikës   dhe   vlerësimin   e   tyre;

h)  publikimin  dhe  shpjegimin  e  të  drejtave  për  mbrojtjen  e  të  dhënave dhe  publikimin periodikisht të veprimtarive të zhvilluara prej tij;

i) bashkëpunimin me autoritetet mbikëqyrëse për të dhënat personale të shteteve të huaja, për mbrojtjen e të drejtave të individëve rezidentë në këto shtete;

j) përfaqësimin e autoritetit mbikëqyrës në fushën e mbrojtjes së të dhënave personale në veprimtaritë kombëtare dhe ndërkombëtare;

k) ushtrimin e detyrave të tjera ligjore.

2. Komisioneri krijon një regjistër për dokumentimin e të gjitha njoftimeve dhe autorizimeve, që ai kryen në ushtrim të kompetencave të tij, në fushën e mbrojtjes së të dhënave personale.

3. Komisioneri paraqet raport vjetor përpara Kuvendit dhe raporton përpara tij sa herë i kërkohet. Gjithashtu, ai mund t’i kërkojë Kuvendit të dëgjohet për çështje që i çmon të rëndësishme.

Neni 32

Detyrimi për bashkëpunim

  1. Institucionet publike dhe private bashkëpunojnë me komisionerin, duke i siguruar të gjithë informacionin që ai kërkon për përmbushjen e detyrave, si dhe e njoftojnë atë për zbatimin e rekomandimeve të dhëna menjëherë pas mbarimit të afatit  të caktuar  për kryerjen  e   tyre.
  2. Komisioneri ka akses në sistemin e kompjuterave, në sistemet e arkivimit, që kryejnë përpunimin e të dhënave personale dhe në të gjithë dokumentacionin, që lidhet me përpunimin dhe transferimin e tyre, për ushtrimin e të drejtave dhe të detyrave që i janë ngarkuar me ligj.

Neni 33

Zgjedhja dhe qëndrimi në detyrë

Komisioneri zgjidhet nga Kuvendi, me propozimin e Këshillit të Ministrave, për një mandat 5- vjeçar, me të drejtë rizgjedhjeje.

Neni 34

Papajtueshmëria e funksionit

Funksioni i komisionerit është i papajtueshëm me çdo funksion tjetër shtetëror, me anëtarësimin në partitë politike dhe pjesëmarrjen në veprimtaritë e tyre, si dhe me çdo veprimtari tjetër fitimprurëse, me përjashtim të mësimdhënies.

Neni 35

Kriteret për t’u zgjedhur

Komisioner   mund   të   zgjidhet   shtetasi   shqiptar,   që   plotëson   kushtet   e   mëposhtme:

a) ka arsim të lartë juridik;

b) ka njohuri dhe veprimtari të shquara në fushën e të drejtave dhe lirive themelore të njeriut;

c) shquhet për aftësi profesionale dhe figurë të pastër etiko-morale;

ç) ka vjetërsi pune në profesionin e juristit jo më pak se 10 vjet;

d) nuk është dënuar me vendim të formës së prerë për kryerjen e një vepre penale;

dh) nuk është larguar nga puna ose shërbimi civil me masë disiplinore.

Neni 36

Mbarimi i mandatit

1. Mandati i komisionerit mbaron para kohe kur:

a) dënohet nga gjykata me vendim të formës së prerë për kryerjen e një vepre penale;

b) nuk paraqitet pa arsye në detyrë për më shumë se 1 muaj;

c) jep dorëheqjen;

ç) deklarohet i paaftë me vendim gjykate të formës së prerë.

2. Komisioneri mund të shkarkohet nga Kuvendi:

a) për shkelje të dispozitave të këtij ligji apo akteve të tjera ligjore;

b) kur kryen veprimtari, që krijon konflikt interesash;

c) kur zbulohen raste të papajtueshmërisë së funksionit të ti

3. Në rast se vendi i komisionerit mbetet vakant, Këshilli i Ministrave, brenda 15 ditëve, i propozon Kuvendit kandidaturën e re. Kuvendi zgjedh komisionerin brenda 15 ditëve nga paraqitja e kandidaturës.

Neni 37

Zyra e komisionerit

Kuvendi vendos për pagën e komisionerit, strukturën organizative dhe klasifikimin e pagave për punonjësit e zyrës së komisionerit për mbrojtjen e të dhënave personale. Punonjësit e kësaj zyre gëzojnë statusin e nëpunësit civil.

Neni 38

Buxheti

Komisioneri ka buxhetin e vet të pavarur, i cili financohet nga Buxheti i Shtetit dhe donatorë, të cilët   nuk   paraqesin   konflikt   interesi.   Administrimi   i   këtyre   donacioneve   bëhet   sipas marrëveshjeve me donatorët dhe legjislacionin shqiptar në fuqi.

Neni 38/a

Publikimi

  1. Udhëzimet, vendimet e Komisionerit, me përjashtim të atyre të dhëna në zbatim të shkronjës “b” të nenit 30 dhe të nenit 39 të këtij ligji, botohen në Fletoren Zyrtare.
  1. Raporti vjetor dhe raportet e veçanta bëhen publike.

KREU IX SANKSIONE ADMINISTRATIVE

Neni 39

Kundërvajtjet administrative

1. Rastet e përpunimit të të dhënave në kundërshtim me dispozitat e këtij ligji kur nuk përbëjnë kundërvajtje penale përbëjnë kundërvajtje administrative dhe dënohen me gjobë, si më poshtë:

a) kontrolluesit, që përdorin të dhëna personale në kundërshtim me kreun II “Përpunimi i të dhënave personale”, dënohen me 10 000 deri në 500 000 lekë;

a/1) kontrolluesit, që përdorin të dhëna personale në kundërshtim me kreun III, “Përpunimi i veçantë i të dhënave”, dënohen me 15 000 deri në 200 000 lekë;

b) kontrolluesit, që nuk përmbushin detyrimin për të informuar, të përcaktuar në nenin 18 të këtij ligji, dënohen me 10 000 deri në 300 000 lekë;

c) kontrolluesit, që nuk përmbushin detyrimin për të korrigjuar ose fshirë të dhënat, të përcaktuar në nenin 19 të këtij ligji, dënohen me 15 000 deri në 300 000 lekë;

ç) kontrolluesit ose përpunuesit, që nuk zbatojnë detyrimet e përcaktuara në nenin 20 të këtij ligji, dënohen me 10 000 deri në 300 000 lekë;

d) kontrolluesit, që nuk përmbushin detyrimin për të njoftuar, sipas përcaktimit në nenin 21 të këtij ligji, dënohen me 10 000 deri në 500 000 lekë;

dh) kontrolluesit ose përpunuesit, që nuk marrin masat e sigurisë së të dhënave dhe nuk zbatojnë detyrimin për ruajtjen e konfidencialitetit, të përcaktuara përkatësisht në nenet 27 dhe 28 të këtij ligji, dënohen me nga 10 000 deri në 150 000 lekë;

dh/1) kontrolluesit dhe përpunuesit, që veprojnë në kundërshtim me pikën 2 të nenit 32 të këtij ligji, dënohen me 100 000 deri në 1 000 000 lekë.

2. Personat juridikë, për kundërvajtjet e mësipërme, dënohen me dyfishin e gjobës së përcaktuar në pikën 1 të këtij neni.

3. Maksimumi i gjobës dyfishohet në rastin kur veprohet në kundërshtim me pikën 2 të nenit 16 të këtij ligji dhe kur të dhënat përpunohen pa autorizim, sipas shkronjës “b” të pikës 1 të nenit 31 të këtij ligji.

4. Gjobat vendosen nga Komisioneri, kur vërehet se janë shkelur detyrimet e përcaktuara në ligj.

Neni 40

Ankimi

Ndaj dënimit administrativ me gjobë bëhet ankim në gjykatë në afatet dhe sipas procedurave që rregullojnë gjykimin administrativ.

Neni 41

Ekzekutimi i gjobave

  1. Gjobat paguhen  nga  kundërvajtësi  jo  më  vonë  se  30  ditë  nga  komunikimi i  tyre. Me kalimin e këtij afati, vendimi i dhënë shndërrohet në titull ekzekutiv dhe ekzekutohet në mënyrë të detyrueshme nga zyra e përmbarimit, me kërkesë të komisionerit.
  2. Gjobat arkëtohen në Buxhetin e Shtetit.

KREU X DISPOZITA TË FUNDIT

Neni 42

Aktet nënligjore

Ngarkohet Këshilli i Ministrave të nxjerrë aktet nënligjore në zbatim të neneve 7, 8 e 21 të këtij ligji.

Neni 43

Shfuqizime

Ligji nr.8517, datë 22.7.1999 “Për mbrojtjen e të dhënave personale”, shfuqizohet.

Neni 44

Hyrja në fuqi

Ky ligj hyn në fuqi 15 ditë pas botimit në Fletoren Zyrtare.

Shpallur me dekretin nr.5671, datë 21.03.2008 dhe nr.7451, datë 08.05.2012 të Presidentit të Republikës së Shqipërisë,

Bamir Topi