Ligji nr. 124/2024 “Për mbrojtjen e të dhënave personale” u shpall me dekret të Presidentit të Republikës së Shqipërisë më datë 15.01.2025 dhe u botua në Fletoren Zyrtare. Ky ligj përcakton rregullat për përpunimin dhe mbrojtjen e të dhënave personale në Shqipëri dhe është i harmonizuar me Rregulloren e Përgjithshme të Mbrojtjes së të Dhënave (GDPR) të Bashkimit Evropian.
Përpunimi i të dhënave personale përfshin çdo veprim ose grup veprimesh të kryera mbi të dhëna personale, pavarësisht nëse realizohen me mjete të automatizuara apo jo. Këto veprime mund të përfshijnë mbledhjen, regjistrimin, organizimin, strukturimin, ruajtjen, ndryshimin, rikuperimin, konsultimin, përdorimin, shpërndarjen, vendosjen në dispozicion, lidhjen, kombinimin, kufizimin, fshirjen ose shkatërrimin e të dhënave.
Ky ligj zbatohet kur të dhënat personale përpunohen tërësisht ose pjesërisht me mjete automatike, si dhe për përpunimin e të dhënave personale që janë ose synojnë të bëhen pjesë e një sistemi arkivimi, edhe nëse përpunimi nuk kryhet me mjete automatike. Për më tepër, fusha e zbatimit e ligjit nuk kufizohet vetëm brenda territorit të Shqipërisë, por shtrihet edhe ndaj operatorëve të huaj që përpunojnë të dhënat personale të subjekteve shqiptare.
Pëlqimi për përpunimin e të dhënave personale duhet të jetë i dhënë lirisht, i informuar dhe i qartë, duke u shprehur me një deklaratë ose me çdo shfaqje tjetër të padyshimtë të vullnetit. Subjektet kanë të drejtë të tërheqin pëlqimin në çdo kohë. Për të miturin nën 16 vjeç, pëlqimi duhet të jepet me miratimin e prindërve ose kujdestarëve ligjorë. Kontrolluesi duhet të jetë në gjendje të vërtetojë se subjekti ka dhënë pëlqimin për përpunimin e të dhënave të tij.
Përpunimi i të dhënave personale duhet të jetë i ligjshëm, transparent dhe i drejtë. Të dhënat nuk duhet të mblidhen më shumë sesa është e nevojshme dhe duhet të ruhen vetëm për aq kohë sa kërkohet për qëllimin për të cilin përpunohen. Masat teknike dhe organizative duhet të garantojnë integritetin dhe konfidencialitetin e të dhënave.
Kontrolluesi ose përpunuesi është i detyruar të vendosë të dhënat në dispozicion të Komisionerit për Mbrojtjen e të Dhënave Personale, sipas kërkesës.
Përjashtim nga detyrimi për dokumentimin e të dhënave bëjnë shoqëritë tregtare ose organizatat me më pak se 250 punonjës, përveç rasteve kur:
- Përpunimi mund të paraqesë rrezik për të drejtat dhe liritë e subjekteve.
- Përpunimi nuk është rastësor.
- Përpunimi përfshin të dhëna sensitive ose të dhëna penale.
Çdo cënim i sigurisë, i cili mund të rrezikojë të dhënat personale, duhet të raportohet tek autoritetet përkatëse brenda 72 orëve.
Ndërsa Komisioneri për Mbrojtjen e të Dhënave Personale monitoron dhe zbaton ligjin, shqyrton ankesat dhe vendos masa administrative në rast shkeljesh.
Ky ligj i ri shfuqizon ligjin dhe aktet e mëparshme në fuqi, duke sjellë një kuadër ligjor më pranë atij të Bashkimit Evropian.
