01
MAR
2015

RREGULLORE PËR MBROJTJEN E TË DHËNAVE PERSONALE

Republika e Shqipërisë
Universiteti “Ismail Qemali” Vlorë

RREGULLORE PËR MBROJTJEN E TË DHËNAVE PERSONALE
VLORË 2014

Kreu I: Dispozita të përgjithshme
Neni 1: Objekti
Neni 2: Parimi
Neni 3: Qellimi
Neni 4: Perkufizime
Neni 5: Fusha e zbatimit

Kreu II: Perpunimi i të dhënave personale
Neni 6: Mbrojtja e të dhënave personale
Neni 7: Kriteret e përpunimit të të dhënave personale
Neni 8: Përpunimi i të dhënave sensitive
Neni 9: Transferimi ndërkombëtar i të dhënave personale

Kreu III:Të drejtat e subjektit të të dhënave
Neni 10: E drejta për informim
Neni 11: E drejta për të kërkuar bllokimin, korrigjimin ose fshirjen
Neni 12: E drejta e ankimit

Kreu IV: Njoftimi
Neni 13: Përgjegjësia e njoftimit

Kreu V: Siguria e të dhënave personale
Neni 14: Masat për sigurinë e të dhënave
Neni 15: Konfidencialiteti i të dhënave
Neni 16: Masat e sigurisë për ruajtjen nga zjarri
Neni 17: Mbrojtja e ambjenteve
Neni 18: Personeli në ambjentet e përpunimit të të dhënave
Neni 19: Mbrojtja e pajisjeve elektronike
Neni 20: Mbrojtja e software
Neni 21: Mbrojtja e dokumentave
Neni 22: Dublikata e programeve
Neni 23: Informimi

Kreu VI: Sanksione administrative
Neni 24: Masat administrative

Kreu VII:Dispozita të fundit
Neni 25: Detyrimi për bashkëpunim
Neni 26: Detyrimi për zbatim

KREU I
DISPOZITA TË PËRGJITHSHME

Neni 1
Objekti
Kjo rregullore ka për objekt përcaktimin e rregullave për mbrojtjen dhe përpunimin e ligjshëm të të dhënave personale.

Neni 2
Parimi
Përpunimi i ligjshëm i të dhënave personale nga Universiteti “Ismail Qemali” i Vlorës bëhet duke respektuar dhe garantuar të drejtat dhe liritë themelore të njeriut dhe në veçanti, të drejtën e jetës private.

Neni 3
Qëllimi
Qëllimi i kësaj rregullore është informimi, mbrojtja dhe sigurimi i shtetasve për trajtimin e të dhënave personale duke garantuar dhe respektuar të drejtat dhe liritë themelore të tyre. Kjo bëhet bazuar tek Kushtetuta e Republikës së Shqipërisë dhe te ligji nr. 9887, datë 10.03.2008 “Për mbrojtjen e të dhënave personale” i ndryshuar.

Neni 4
Përkufizime
“Të dhëna personale” është çdo informacion në lidhje me një person fizik, të identifikuar ose të identifikueshëm, direkt ose indirekt, në veçanti duke iu referuar një numri identifikimi ose një a më shumë faktorëve të veçantë për identitetin e tij fizik, fiziologjik, mendor, ekonomik, kulturor apo social.

“Të dhëna sensitive” është çdo informacion për personin fizik, që ka të bëjë me origjinën e tij, racore ose etnike, mendimet politike, anëtarësimin në sindikata, besimin, fetar apo filozofik, dënimin penal, si dhe të dhëna për shëndetin dhe jetën seksuale.

“Kontrollues” është çdo person fizik ose juridik, autoritet publik, agjenci apo ndonjë organ tjetër që, vetëm apo së bashku me të tjerë, përcakton qëllimet dhe mënyrat e përpunimit të të dhënave personale, në përputhje me ligjet dhe aktet nënligjore të
fushës, dhe përgjigjet për përmbushjen e detyrimeve të përcaktuara në këtë ligj.

“Subjekt i të dhënave personale” është çdo person fizik, të cilit i përpunohen të dhënat personale.

“Përpunim i të dhënave personale” është çdo veprim ose grup veprimesh, të cilat janë kryer mbi të dhënat personale, me mjete automatike ose jo, të tilla si mbledhja, regjistrimi, organizimi, ruajtja, përshtatja ose ndryshimi, rikthimi, konsultimi, shfrytëzimi, transmetimi, shpërndarja ose ndryshe duke vënë në dispozicion, shtrirja ose kombinimi, pasqyrimi, hedhja, plotësimi, seleksionimi, bllokimi, asgjësimi ose shkatërrimi, edhe në qoftë se nuk janë të regjistruara në një bankë të dhënash.

“Marrës” është çdo person fizik ose juridik, autoritet publik, agjenci apo ndonjë organ tjetër të cilit i janë dhënë të dhënat e një palë të tretë ose jo. Autoritetet, të cilat mund të marrin të dhëna në kuadrin e një hetimi të veçantë, nuk konsiderohen si marrës.

“I ngarkuar” është personi që kryen përpunimin e të dhënave, me autorizim nga titullari ose personi përgjegjës.

“Përhapje” është komunikimi i informacionit për të dhënat personale palëve të papërcaktuara, në çfarëdo forme, edhe përmes vënies në dispozicion ose konsultimit.

“Pëlqim i subjekteve të të dhënave” është çdo deklaratë me shkrim, e dhënë shprehimisht me vullnet të plotë e të lirë dhe duke qenë në dijeni të plotë për arsyen pse të dhënat do të përpunohen, çka nënkupton që subjekti i të dhënave pranon që të përpunohen të dhënat e tij.

Neni 5
Fusha e zbatimit
Kjo Rregullore zbatohet për përpunimin e të dhënave personale plotësisht ose pjesërisht, nëpërmjet mjeteve automatike, dhe me mjete të tjera që mbahen në një sistem arkivimi në Universitetin “Ismail Qemali”, Vlorë dhe strukturat e veçanta të varësisë.

KREU II
PËRPUNIMI I TË DHËNAVE PERSONALE

Neni 6
Mbrojtja e të dhënave personale
Punonjësi i Universitetit “Ismail Qemali” i caktuar për përpunimin e të dhënave personale është i detyruar të respektojë ligjin nr. 9887, datë 10.03.2008 “Për mbrojtjen e të dhënave personale” i ndryshuar, ka përgjegjësinë e përpunimit të të dhënave
dhe duhet të bazohet në këto parime:

  • a. në përpunimin në mënyrë të drejtë dhe të ligjshme;
  • b. në grumbullimin për qëllime specifike, të përcaktuara qartë, e legjitime dhe në përpunimin në përputhje me këto qëllime;
  • c. në mjaftueshmërinë e të dhënave, të cilat duhet të lidhen me qëllimin e përpunimit dhe të mos e tejkalojnë këtë qëllim;
  • d. në saktësinë që të dhënat duhet të kenë dhe, kur është e nevojshme, duhet të përditësohen; duhet ndërmarrë çdo hap i arsyeshëm për të fshirë apo korrigjuar të dhëna të pasakta apo të paplota, në lidhje me qëllimin për të cilin janë mbledhur apo për të cilin përpunohen më tej;
  • e. në mbajtjen në atë formë, që të lejojë identifikimin e subjekteve të të dhënave për një kohë, por jo më tepër sesa është e nevojshme për qëllimin, për të cilin ato janë grumbulluar ose përpunuar më tej.

Neni 7

Kriteret e përpunimit të të dhënave personale

Të dhënat personale përpunohen nga punonjësi i caktuar bazuar në këto kritere:

  • a. nëse subjekti i të dhënave personale ka dhënë pëlqimin;
  • b. nëse përpunimi është thelbësor për përmbushjen e një kontrate, për të cilën subjekti i të dhënave është palë kontraktuese, apo për diskutime ose ndryshime të një projekti/kontrate me propozimin e subjektit të të dhënave;
  • c. për përmbushjen e një detyrimi ligjor të kontrolluesit:

Neni 8

Përpunimi i të dhënave sensitive
Në Universitetin “Ismail Qemali” ndalohet përpunimi i të dhënave, që zbulojnë origjinën racore ose etnike, mendimet politike, anëtarësinë në sindikata, besimin fetar apo filozofik, dënimet penale, si dhe shëndetin dhe jetën seksuale.
Përpunimi i të dhënave sensitive bëhet vetëm në këto raste:

  • a. subjekti i të dhënave ka dhënë pëlqimin, që mund të revokohet në çdo çast dhe e bën të paligjshëm përpunimin e mëtejshëm të të dhënave;
  • b. lidhet me të dhëna, që janë bërë haptazi publike nga subjekti i të dhënave ose është i nevojshëm për ushtrimin apo mbrojtjen e një të drejte ligjore;
  • c. të dhënat përpunohen për qëllime historike, shkencore ose statistikore, nën masa të përshtatshme mbrojtëse;
  • d. përpunimi është i nevojshëm për përmbushjen e detyrimit ligjor dhe të të drejtave specifike të kontrolluesit në fushën e punësimit, në përputhje me Kodin e Punës.

Neni 9
Transferimi ndërkombëtar i të dhënave personale
Nga Universiteti “Ismail Qemali” lejohet transferimi ndërkombëtar i të dhënave personale bazuar te ligji nr. 9887, datë 10.03.2008 “Për mbrojtjen e të dhënave personale” i ndryshuar, te aktet ligjore në fuqi për përcaktimin e shteteve me nivel të
mjaftueshëm për mbrojtjen e të dhënave personale duke garantuar mbrojtjen e privatësisë dhe të të drejtave e lirive themelore të njeriut.
Transferimi ndërkombëtar i të dhënave personale me një shtet, që nuk ka nivel të mjaftueshëm të mbrojtjes së të dhënave personale mund të bëhet nëse:

  • a. autorizohet nga akte ndërkombëtare, të ratifikuara nga Republika e Shqipërisë dhe që janë të zbatueshme në mënyrë të drejtpërdrejtë;
  • b. subjekti i të dhënave ka dhënë pëlqimin për transferim ndërkombëtar;
  • c. transferimi është i nevojshëm për kryerjen e kontratës ndërmjet subjektit të të dhënave dhe kontrolluesit ose për zbatimin e masave parakontraktore, të marra si përgjigje ndaj kërkesës së subjektit, ose transferimi është i nevojshëm për përmbushjen apo kryerjen e një kontrate ndërmjet kontrolluesit dhe një pale të tretë, në interes të subjektit të të dhënave

KREU III
TË DREJTAT E SUBJEKTIT TË TË DHËNAVE

Neni 10

E drejta për informim
Çdo person, në bazë të Kushtetutës së Republikës së Shqipërisë si dhe akteve të tjera ligjore për të drejtën e informimit, ka të drejtë që pa pagesë me kërkesë me shkrim, të marrë nga Universiteti “Ismail Qemali”, Vlorë:

  • a. konfirmimin nëse të dhënat personale po i përpunohen ose jo, informacion për qëllimin e përpunimit, për kategoritë e të
  • dhënave të përpunuara dhe për marrësit e kategoritë e marrësve, të cilëve u përhapen të dhënat personale;
  • b. në një formë të kuptueshme, të dhënat personale dhe informacionin e disponueshëm për burimin e tyre;
  • c. Informacioni për të dhënat komunikohet në formën, në të cilën ishin në kohën kur është bërë kërkesa.
  • d. Punonjësi i caktuar, brenda një afati 30 ditor nga data e marrjes së kërkesës, informon subjektin e të dhënave ose i shpjegon atij arsyet e mosdhënies së informacionit.

Neni 11

E drejta për të kërkuar bllokimin, korrigjimin ose fshirjen

  1. Çdo subjekt i të dhënave ka të drejtë të kërkojë bllokimin, korrigjimin, fshirjen ose kundërshtimin e të dhënave pa pagesë, kur vihet në dijeni se të dhënat rreth tij nuk janë të rregullta, të vërteta, të plota ose janë përpunuar dhe mbledhur në kundërshtim me dispozitat e këtij ligji.
  2. Punonjësi i caktuar, brenda 30 ditëve nga data e marrjes së kërkesës së subjektit të të dhënave, duhet ta informojë atë për përpunimin e ligjshëm të të dhënave, kryerjen ose moskryerjen e bllokimit, korrigjimit apo të fshirjes.
  3. Kur punonjësi i caktuar nuk bën bllokimin, korrigjimin ose fshirjen e të dhënave të kërkuara prej tij, subjektit të të dhënave i njihet e drejta e ankimit te komisioneri.

Neni 12

E drejta e ankimit
Çdo person, që pretendon se i janë shkelur të drejtat, liritë dhe interesat e ligjshëm për të dhënat personale, ka të drejtë të ankohet ose të njoftojë komisionerin dhe të kërkojë ndërhyrjen e tij për vënien në vend të së drejtës së shkelur. Pas këtij ankimi, në përputhje me Kodin e Proçedurës Civile, subjekti i të dhënave mund të ankohet në gjykatë.

KREU IV

NJOFTIMI

Neni 13

Përgjegjësia e njoftimit
Njoftimi pranë Zyrës së Komisionerit është i detyrueshëm dhe ai kryhet në përputhje me Kreun VI të ligjit për mbrojtjen e të dhënave personale dhe VKM‐në nr.1232, datë 11.12.2009 “Për përcaktimin e rasteve për përjashtimet nga detyrimi për njoftimin e të dhënave personale që përpunohen”.

KREU V

SIGURIA E TË DHËNAVE PERSONALE

Neni 14

Masat për sigurinë e të dhënave
Universiteti “Ismail Qemali” merr masa organizative dhe teknike të përshtatshme për të mbrojtur të dhënat personale nga shkatërrime të paligjshme, aksidentale, humbje aksidentale, për të mbrojtur aksesin ose përhapjen nga persona të
paautorizuar, veçanërisht kur përpunimi i të dhënave bëhet në rrjet, si dhe nga çdo formë tjetër e paligjshme përpunimi.

Institucioni merr këto masa të veçanta sigurie:

  • a. përcakton funksionet ndërmjet njësive organizative dhe operatorëve për përdorimin e të dhënave;
  • b. përdorimi i të dhënave bëhet me urdhër të njësive organizative ose të operatorëve të autorizuar;
  • c. udhëzon operatorët, pa përjashtim, për detyrimet që kanë, në përputhje me ligjin nr. 9887, datë 10.03.2008 “Për mbrojtjen e të dhënave personale” dhe rregulloret e brendshme për mbrojtjen e të dhënave, përfshirë edhe rregulloret për sigurinë e të dhënave;
  • d. ndalon hyrjen në mjediset e kontrolluesit ose të përpunuesit të të dhënave të personave të paautorizuar;
  • e. hyrja në të dhënat dhe programet bëhet vetëm nga personat e autorizuar,
  • f. ndalon hyrjen në mjetet e arkivimit dhe përdorimin e tyre nga persona të paautorizuar;
  • g. vënia në punë e pajisjeve të përpunimit të të dhënave bëhet vetëm me autorizim dhe çdo mjet sigurohet me masa
  • parandaluese ndaj vënies së autorizuar në punë;
  • h. regjistron dhe dokumenton modifikimet, korrigjimet, fshirjet, transmetimet etj.

Institucioni është i detyruar të dokumentojë masat tekniko-organizative të përshtatura dhe të zbatuara për garantimin e mbrojtjes së të dhënave personale, në përputhje me ligjin dhe rregullore të tjera.
Të dhënat e regjistruara nuk përdoren për qëllime të ndryshme, që nuk janë në përputhje me qëllimin e grumbullimit. Ndalohet njohja ose çdo përpunim i të dhënave të regjistruara në dosje për një qëllim të ndryshëm nga e drejta për të hedhur të dhëna. Dokumentacioni i të dhënave mbahet për aq kohë sa është i nevojshëm për qëllimin, për të cilin është grumbulluar. Niveli i sigurisë duhet të jetë i përshtatshëm me natyrën e përpunimit të të dhënave personale. Rregulla të hollësishme për sigurimin e të dhënave përcaktohen me vendim të komisionerit. Procedurat e administrimit të regjistrimit të të dhënave, të hedhjes së të dhënave, të përpunimit dhe nxjerrjes së tyre përcaktohen me vendim të komisionerit.

Neni 15

Konfidencialiteti i të dhënave
Universiteti apo personat që vihen në dijeni me të dhënat e përpunuara, gjatë ushtrimit të funksioneve të tyre, detyrohen të ruajnë konfidencialitetin dhe besueshmërinë edhe pas përfundimit të funksionit. Këto të dhëna nuk përhapen, përveç rasteve
të parashikuara me ligj.
Çdo person që vepron nën autoritetin e institucionit, nuk duhet t’i përpunojë të dhënat personale, tek të cilat ka akses, pa autorizimin e institucionit.

Neni 16

Masat e sigurisë për ruajtjen nga zjarri
Në plotësim të masave të sigurisë për zjarrin, të përcaktuara në ndërtesat e Universitetit “Ismail Qemali” nga ligji i sigurisë nga zjarri, masat e mëposhtme do të zbatohen edhe për ndërtesat e pajisjeve kompjuterike:

  • a. Ndalohet duhani;
  • b. Mospërdorimi i zjarrit;
  • c. Ndalimi i përdorimit të bombolave të gazit ndezës;
  • d. Mospërdorimi i kabllove elektrikë provizorë;
  • e. Ruajtjen e substancave ndezëse vetëm në sasi të mjaftueshme që nuk pengon punën

Neni 17

Mbrojtja e ambjenteve
Ambientet, në të cilat do të përpunohen të dhënat personale duhet të mbrohen nga masa organizative, fizike dhe teknike që të parandalojnë aksesin e personave të paautorizuar në mjediset dhe aparaturat me të cilat do të përpunohen të dhënat personale .
Zbatimi i masave të sigurimit duhet të bëhet në përputhje me nivelin e sigurisë së të dhënave dhe informacionit të administruar, si dhe treguesit e nivelit të rrezikut që mund të vijë nga ekspozimi i paautorizuar i informacionit të ruajtur.
Në ambientet ku përpunohen të dhëna personale zbatohen këto masa sigurie:

  • a. Ndalohet hyrja e personave të paautorizuar.
  • b. Personat që futen në këto ambjete duhet të pajisen me autorizimin përkatës nga titullari.
  • c. Ambientet e hyrjes, survejohen me kamera gjatë 24 orëve.
  • d. Ambientet pajisen, me kasaforta e brava automatike me çelësa dhe drynë të veçantë nga ata të përdorimit të zakonshëm, të sigurta për mbrojtjen e dosjeve nga dëmtimi i tyre.
  • e. Kryhet kontroll, për të parandaluar vendosjen apo përdorimin e mjeteve të përgjimit, regjistrimit a të filmimit.
  • f. Sigurohet mbikqyrje e vazhdueshme, ditën dhe natën me roje fizike.

Neni 18

Personeli në ambjentet e përpunimit të të dhënave
Në ambientet ku përpunohen të dhëna të mbrojtura ( personale ) lejohet të qëndrojnë:

  • a. Punonjësit e institucionit, vetëm nëse ata janë të punësuar në këtë ambient ose nëse prania e tyre është thelbësore për kryerjen e detyrave të punës.
  • b. Personeli i mirëmbajtjes së sistemit apo pajisjeve të telekomunikacionit lejohet të futet në këto ambiente, vetëm me leje nga titullari i institucionit.

Neni 19

Mbrojtja e pajisjeve elektronike
Pajisjet elektronike për përpunimin e të dhënave dhe informacioneve në strukturat e Universitetit “Ismail Qemali” përdoren vetëm për kryerjen e detyrave të përcaktuara në rregullore. Këto pajisje përdoren vetëm nga punonjës të universitetit, të
trajnuar më parë për përdorimin e tyre. Trajnimi i personelit që merret me përpunimin automatik të të dhënave bëhet nga Dega e Teknologjisë së Informacionit.
Për çdo gabim apo defekt në sistemet/databaset e institucionit, njoftohet administratori i sistemit, i cili mbi bazën e kërkesës bën rregullimin përkatës.

Neni 20

Mbrojtja e software‐ve
Programet për trajtimin e të dhënave dhe informacioneve të blera apo të dhuruara nga donatorë të ndryshëm menaxhohen nga Dega e Teknologjsë së Informacionit. Kur një program i destinuar për trajtimin e të dhënave personale është krijuar me
iniciativën e një punonjësi të jashtëm apo të një subjekti kontraktues, i cili nuk është i përfshirë në zhvillimin e organizimit dhe të planifikimit të programeve, para se të përfshihet në përdorimin e programit duhet të jetë miratuar nga Rektorati. Pas
miratimit, Rektorati organizon instalimin e tij në pajisjet elektronike.
Për secilin program, Dega e Teknologjisë së Informacionit mund të përcaktojë:

  • a. Kush mund ta fshijë, kopjojë ose ta ndryshojë atë;
  • b. Ku duhet të ruhet kopja e programit dhe kush është përgjegjës për mbajtjen e tij të përditësuar.

Neni 21

Mbrojtja e dokumentave
Dokumentat e klasifikuar dhe mjetet e tjera të komunikimit në të cilat mbahen të dhëna personale duhet të shënohen me një lloj sekretimi dhe një nivel i caktuar konfidencialiteti. Sekretimi dhe niveli i konfidencialitetit përcaktohet në përputhje me aktet normative në fuqi.

Neni 22

Dublikata e programeve
Dublikata e programeve me të dhëna që përdoren në rastin e fatkeqësive natyrore ose në raste të gjendjes së jashtëzakonshme ose gjendje lufte duhet të ruhen në vende ose lokale që ndodhen jashtë zyrës kryesore të njësisë organizative përkatëse.
Mënyra e krijimit, shumëfishimit dhe ruajtjes së këtyre dublikatave përcaktohet në mënyrë të veçantë për çdo dokument, në përputhje me rregullat e ruajtjes dhe garantimit të tyre, të vendosura nga njësia organizative përkatëse dhe me rregullat e
zbatueshme në rastin e fatkeqësive natyrore.

Neni 23

Informimi
Në qoftë se një dokument me të dhëna konfidenciale humbet ose zhduket, nëpunësi kompetent ka për detyrë të informojë menjëherë eprorin e tij dhe te marrë çdo masë që vlerësohet e domosdoshme për të përcaktuar rrethanat në të cilat ka humbur dokumenti si dhe për eliminimin e pasojave të dëmshme.

KREU VI

SANKSIONE ADMINISTRATIVE

Neni 24

Masat administrative
Çdo punonjës i Universitetit “Ismail Qemali”, i cili shkel detyrën për të mbrojtur të dhënat personale është përgjegjës për thyerje të disiplinës, rregullave, dhe detyrimeve në veprimtarinë e punës së tij. Në qoftë se veprimet e tyre nuk përbëjnë vepër
penale ndaj tyre merren masa disiplinore sipas statutit dhe rregullores së universitetit dhe masa administrative në referim te nenit 39 të ligjit.

KREU VII

DISPOZITA TË FUNDIT

Neni 25

Detyrimi për bashkëpunim
Universiteti “Ismail Qemali” është i ndërgjegjshëm për detyrimin që ka për të bashkëpunuar me Komisionerin dhe për t’i siguruar të gjithë informacionin që ai kërkon për përmbushjen e detyrave, pasi Komisioneri ka akses në sistemin e
kompjuterave, në sistemet e arkivimit, që kryejnë përpunimin e të dhënave personale dhe në të gjithë dokumentacionin, që lidhet me përpunimin dhe transferimin e tyre, për ushtrimin e të drejtave dhe të detyrave që i janë ngarkuar me ligj.

Neni 26

Detyrimi për zbatim
Çdo punonjës i universitetit, staf akademik, administrativ etj që merret me përpunimin e të dhënave personale ka detyrimin e zbatimit të kësaj rregulloreje si dhe të ligjeve dhe akteve nënligjore përkatëse.
Të gjitha aktet ligjore të Komisionerit janë të detyrueshme për zbatim nga Universiteti “Ismail Qemali”, sipas përcaktimeve të bëra në aktet ligjore e nënligjore të nxjerra për këtë qëllim.
Miratuar me Vendimin nr. 23, date 17.07.2014 të Senatit Akademik të Universitetit “Ismail Qemali” Vlorë.

KRYETARI I SENATIT

Prof. Dr. Albert Qarri