Në epokën digjitale, ku çdo klikim dhe çdo ndërveprim gjeneron të dhëna personale, një nga të drejtat më themelore të parashikuara nga GDPR (Rregullorja e Përgjithshme për Mbrojtjen e të Dhënave) është e drejta për qasje. Kjo e drejtë u jep individëve mundësinë të kuptojnë se çfarë informacioni mbajnë kompanitë, institucionet apo organizatat për ta, si përpunohet ai informacion dhe përse përdoret. Për konsumatorët shqiptarë dhe bizneset në vend, ku temat e privatësisë dhe mbrojtjes së të dhënave janë ende të reja, kuptimi i kësaj të drejte është thelbësor.
Çfarë nënkupton e drejta për qasje?
E drejta për qasje është parashikuar në nenin 15 të GDPR dhe i jep çdo subjekti të të dhënave (pra individit) të drejtën të marrë konfirmim nga një organizatë nëse të dhënat e tij personale po përpunohen. Kjo nuk është thjesht një kërkesë informuese, por një mënyrë për të siguruar transparencë dhe kontroll mbi informacionin personal.
Në praktikë, kjo do të thotë se nëse një qytetar shqiptar dyshon se një kompani telekomi, një bankë apo një platformë online po mban të dhëna për të, ai ka të drejtë të kërkojë qasje dhe të marrë një kopje të atyre të dhënave.
Çfarë informacioni duhet të ofrohet?
Kur një individ ushtron të drejtën e qasjes, organizata duhet të japë informacione të qarta dhe të detajuara. Këto përfshijnë:
- Llojet e të dhënave personale që po përpunohen (emër, adresë, numër telefoni, email, të dhëna financiare, etj.)
- Qëllimet për të cilat përdoren të dhënat (marketing, analiza, shërbime klienti, raportime ligjore, etj.)
- Burimi i të dhënave, nëse nuk janë mbledhur drejtpërdrejt nga individi
- Kohëzgjatja e ruajtjes së të dhënave
- Palët e treta me të cilat ndahen të dhënat (p.sh. partnerë biznesi, platforma reklamimi, agjenci shtetërore)
- Informacion për të drejtat e tjera të individit, si e drejta për fshirje, korrigjim apo kufizim të përpunimit
Në rast se kërkohet, individi ka të drejtë të marrë edhe një kopje falas të të dhënave të tij në një format të zakonshëm dhe të lexueshëm elektronikisht.
Afatet kohore dhe përgjegjësia e organizatave
GDPR përcakton që kërkesat për qasje duhet të përpunohen brenda 1 muaji nga marrja e kërkesës. Vetëm në raste komplekse ky afat mund të zgjatet deri në 2 muaj shtesë, por individi duhet të njoftohet për këtë.
Për bizneset shqiptare, sidomos ato që sapo po mësohen me ligjin e privatësisë, kjo është një sfidë. Ata duhet të krijojnë sisteme të brendshme për menaxhimin e kërkesave të subjekteve të të dhënave, përndryshe rrezikojnë gjoba të larta.
Shembuj praktikë për publikun shqiptar
- Një klient banke mund të kërkojë të dijë se çfarë informacioni personal ka banka për të dhe nëse ky informacion është ndarë me ndonjë kompani sigurimi.
- Një përdorues i rrjeteve sociale në Shqipëri mund të pyesë se cilat të dhëna ruan platforma për llogarinë e tij dhe përse përdoren ato.
- Një pacient në një klinikë private ka të drejtë të kërkojë qasje në dosjen e tij mjekësore digjitale, për të kuptuar si trajtohet informacioni shëndetësor.
Pse është e rëndësishme kjo e drejtë?
E drejta për qasje shërben si garanci kryesore për transparencë. Nëse individët nuk dinë se cilat të dhëna po përpunohen për ta, ata nuk mund të mbrojnë privatësinë e tyre apo të ushqejnë besim ndaj institucioneve.
Për bizneset shqiptare, respektimi i kësaj të drejte nuk është vetëm një detyrim ligjor, por edhe një avantazh konkurrues. Konsumatorët janë më të prirur të bashkëpunojnë me kompani që tregojnë kujdes dhe përgjegjshmëri në trajtimin e të dhënave.
Si mund të bëhet një kërkesë për qasje?
Një individ nuk ka nevojë të përdorë ndonjë format të posaçëm ligjor. Mjafton që kërkesa të jetë e qartë dhe të identifikojë subjektin. Për shembull:
“Përshëndetje, dëshiroj të di çfarë të dhënash personale keni ruajtur për mua dhe përse përdoren ato. Ju lutem më siguroni një kopje të tyre.”
Organizata është e detyruar t’i përgjigjet kësaj kërkese, qoftë edhe për të konfirmuar se nuk përpunon të dhëna për individin në fjalë.
Kur mund të refuzohet kërkesa?
Jo çdo kërkesë duhet domosdoshmërisht të pranohet. Ka disa raste të veçanta kur organizata mund të refuzojë, për shembull:
- Nëse kërkesa është e tepruar ose e përsëritur shpesh
- Kur qasja mund të cënojë të drejtat dhe liritë e të tjerëve (p.sh., nëse zbulohen të dhëna për persona të tretë)
- Kur ligji kërkon ruajtjen e sekretit (p.sh., hetimet penale ose të dhënat e sigurisë kombëtare)
Megjithatë, refuzimi duhet gjithmonë të shoqërohet me një shpjegim të qartë dhe individi ka të drejtë të ankimojë.
Çfarë duhet të bëjnë bizneset shqiptare?
Për kompanitë që operojnë në Shqipëri, implementimi i GDPR është një proces i domosdoshëm. Ja disa hapa praktikë:
- Të krijojnë një politikë privatësie të qartë dhe të aksesueshme për konsumatorët
- Të kenë një person ose departament përgjegjës për mbrojtjen e të dhënave
- Të mbajnë regjistra të sakta mbi mënyrën si mbledhin dhe përpunojnë të dhënat
- Të trajnojnë stafin për të kuptuar dhe respektuar të drejtat e individëve
- Të përgjigjen me transparencë dhe brenda afateve të ligjit ndaj kërkesave për qasje
Nëse këto hapa respektohen, bizneset jo vetëm që shmangin gjobat, por fitojnë edhe besimin e klientëve.
Një pasqyrë për të ardhmen
Në një botë ku çdo ditë prodhohen miliona të dhëna, e drejta për qasje është si një dritare që i lejon individët të shohin brenda mekanizmave të përpunimit të informacionit. Për shqiptarët, kjo nuk është vetëm një çështje ligjore, por një kulturë e re e privatësisë që po lind. Sa më shumë të kuptohet kjo e drejtë, aq më e fortë do të jetë mbrojtja e të dhënave personale dhe marrëdhënia e shëndetshme mes konsumatorëve dhe bizneseve.
Në vend që të shihet si një barrë administrative, ajo mund të shihet si një mundësi për të krijuar një klimë besimi dhe transparence në shoqërinë digjitale shqiptare.