Të dhënat personale të qytetarëve vitet e fundit kanë qenë të rrezikuara shumë shpesh, ose përmes sulmeve të shumta kibernetike në disa institucione, ose përmes procedurave kontestuese të tenderit për zgjedhjen e kompanive, të cilat ndër të tjera duhet të sigurojnë mbrojtjen e të dhënave personale. Megjithëse asnjë institucion deri më tani nuk është prononcuar që të dhënat personale të qytetarëve vërtet kanë qenë të rrezikuara, të keqpërdorura, apo si rezultat i një kompanie të zgjedhur në mënyrë të papërshtatshme është vënë në pikëpyetje qarkullimi i tyre, mbeten dyshimet nëse institucionet kushtojnë vëmendje të mjaftueshme për mbrojtjen e të dhënave personale të qytetarëve të cilët më tej mund të jenë objekt i keqpërdorimit, shkruan Meta.mk
“Institucionet nuk kanë miratuar dhe aplikuar politika adekuate për mbrojtjen e të dhënave personale, duke marrë parasysh natyrën, vëllimin, kontekstin dhe qëllimet e përpunimit, si dhe rreziqet e gjasës dhe seriozitetit të ndryshëm për të drejtat dhe liritë e qytetarëve, as që kanë vendosur procedura për cenimin e sigurisë së të dhënave personale”, thonë nga Agjencia për Mbrojtjen e të Dhënave Personale, lidhur me pyetjen se cilat janë lëshimet më të shpeshta të institucioneve në lidhje me mbrojtjen e të dhënave të qytetarëve.
Ato theksojnë se lëshimet e shpeshta janë se kontrolluesi (institucioni) nuk ka administrator të caktuar të sistemit të informacionit, nuk ka oficer të caktuar për mbrojtjen e të dhënave personale dhe nuk i kanë publikuar publikisht të dhënat e kontaktit të oficerit në faqen e tij të internetit dhe nuk e kanë njoftuar Agjencinë për Mbrojtjen e të Dhënave Personale. Më tej, nga Agjencia thonë se janë të shpeshta edhe rastet që institucionet të mos kenë bërë vlerësim të ndikimit në mbrojtjen e të dhënave personale (PVZLP) të operacioneve të planifikuara për përpunimin e mbrojtjes së të dhënave personale kur ekziston mundësi që përpunimi do të shkaktojë rrezik të lartë për të drejtat dhe liritë e qytetarëve.
Përveç kësaj, nga Agjencia thonë se janë të shpeshta rastet institucionet në faqet e tyre të internetit të mos kenë të shfaqur politikë të veçantë për përdorimin e skedarëve (cookies), dhe nuk kanë krijuar mundësi teknike për dhënie/mosdhënie pëlqim nga përdoruesi i faqes së internetit për përdorimin e të ashtuquajturave “cookies”. Problem i veçantë, sipas Agjencisë, është se institucionet shpeshherë nuk kryejnë kontroll mbi punën e përpunuesve të të dhënave personale.
“Për të avancuar punën në fushën e mbrojtjes së të dhënave personale, është e nevojshme rritja e vetëdijes së të punësuarve në institucionet, përmes të cilave afirmohet e drejta për mbrojtjen e të dhënave personale të qytetarëve dhe edukohet kontrolluesi për detyrimet e tij që rrjedhin nga rregullat për mbrojtjen e të dhënave personale. Zgjidhja për thjeshtimin e zbatimit të ligjit qëndron në caktimin e oficerëve për mbrojtje të të dhënave personale kurdoherë që është e nevojshme ose e mundur, si persona që posedojnë kualifikime në pajtim me ligjin dhe që janë të gatshëm të punojnë për marrjen e njohurive të reja në fushën e mbrojtjes së të dhënave personale. Oficeri duhet të punojë në gjetjen e sa më shumë aktiviteteve përmes të cilave do të rritet vetëdija e të punësuarve në institucionet, veçanërisht për ata që janë të përfshirë në operacionet e përpunimit të të dhënave personale”, thonë nga Agjencia për Mbrojtjen e të Dhënave Personale.
Nga aty edhe më parë u është bërë thirrje të gjitha institucioneve që t’i kushtojnë më shumë vëmendje mbrojtjes së të dhënave personale të qytetarëve, përkatësisht të demonstrojnë llogaridhënie dhe përgjegjësi përmes investimit në zgjidhje të reja teknologjike dhe njohuri të të të punësuarve, në mënyrë që të jenë në hap me zhvillimin e shoqërisë digjitale.
“Kohët e fundit sulmet ndaj sistemeve TI të institucioneve janë bërë më të shpeshta për shkak të zgjidhjeve të vjetruara teknologjike që përdoren dhe stafit të pamjaftueshëm profesional që do të mund t’u përgjigjet sfidave të epokës së re. Agjencia vazhdimisht thekson nevojën e rritjes së sigurisë së sistemeve TI të institucioneve, sepse pasojat e dëmshme në rast të keqpërdorimit të mundshëm të të dhënave personale të qytetarëve mund të jenë të mëdha dhe të pariparueshme”, theksuan nga AMDHP-ja.
Digjitalizimi i librave amë e ndezi alarmin
Rasti i fundit i cili e hapi dyshimin për keqpërdorim të mundshëm të të dhënave personale të qytetarëve ishte rasti i Drejtorisë për Menaxhim me Librat Amë (DMLA), pasi Komisioni Shtetëror për Parandalimin e Korrupsionit hapi lëndë dhe paralajmëroi kallëzim penal për shkak të dyshimeve për qasje pa leje në librat amë dhe tregtim me të dhënat personale të qytetarëve.
Sipas personave për antikorrupsion, në dy procedurat e tenderit për digjitalizimin regjistrave librave amë nuk janë parashikuar masa adekuate mbrojtëse për ruajtjen e privatësisë, gjegjësisht të dhënave personale të qytetarëve të RMV-së gjatë skanimit, kontrollit, menaxhimit, transferimin dhe përpunimit të të dhënave personale nga operatorët e angazhuar ekonomikë në bazë të marrëveshjeve të lidhura me Drejtorinë për Menaxhim të Librave Amë.
Kështu, gjatë përcaktimit të kushteve në tender janë kërkuar certifikata që dëshmojnë cilësinë e operatorëve ekonomikë për punë me të dhëna të klasifikuara përkatësisht të dhëna dhe informacione konfidenciale, por jo edhe cilësi për mbledhjen, kontrollin, përpunimin dhe transferimin e të dhënave personale.
Nga Agjencia për Mbrojtjen e të Dhënave Personale është kërkuar që të kryejë mbikëqyrje të jashtëzakonshme në DMLA, për të kontrolluar se kush ka pasur qasje në dokumentet e skanuara të të dhënave personale, si janë mbajtur ato, nëse kanë qenë të mbrojtura, nëse sistemi i vendosur për mbrojtjen e tyre ka qenë efikas dhe efektiv dhe nëse ato janë përdorur për qëllime të paligjshme. Agjencia ka hyrë në DULA dhe në konstatimet nga mbikëqyrja e kryer e jashtëzakonshme ka theksuar se ka pasur “ lëshime serioze në të ashtuquajturat digjitalizimi i librave amë”.
Në mbikëqyrjen që na u dërgua nga AMDHP-ja, shkruan se punonjësit e DMLA-s nuk kanë ndjekur trajnim për mbrojtjen e të dhënave personale, ndërsa “për skanimin e librave amë përdoren dy kompjuterë ku janë instaluar dy skanerë”.
“Për të hyrë në këta kompjuterë nuk kërkohet të shënohet emri i përdoruesit dhe fjalëkalimi. Këta kompjuterë dhe skanerë janë të vendosur në hapësirë e cila nuk është e siguruar fizikisht, me ç’rast në hapësirën ka ekzistuar mundësi që të qasen edhe persona të paautorizuar. Në fazën e skanimit, personat e angazhuar nga përpunuesit nuk kanë pasur shoqërim (kontroll) nga punonjësit e DULA-s. Në këtë hapësirë janë ruajtur edhe librat amë të disa njësive rajonale që janë dorëzuar për skanim, ku në to do të mund të ketë qasje secili që do të qaset në hapësirën e DMLA-s. Librat e skanuar amë shkarkohen nga këta dy kompjuterë të mediumit portativ që nuk është i mbrojtur me fjalëkalim”, theksohet në mbikëqyrjen.
Për mbikëqyrjen e kryer të jashtëzakonshme është përpiluar procesverbal dhe është marrë vendim për masa korrigjuese, me ç’rast janë caktuar afate për mënjanimin e shkeljeve të konstatuara.
“Afatet për veprim kanë skaduar në qershor të vitit 2023, ku DULA ka për obligim që për çdo masë të na njoftojë dhe të paraqesë dëshmi se i ka mënjanuar shkeljet e konstatuara. “Për një pjesë të masave, Drejtoria tashmë ka dorëzuar edhe dëshmi në Agjencinë për mënjanimin e shkeljeve”, thonë nga AMDHP-ja.
Pasojat nga keqpërdorimi eventual i të dhënave personale mund të jenë të pariparueshme
Në procesin e digjitalizimit intensiv, njëkohësisht edhe të një numri të madh sulmesh kibernetike, qytetarët megjithatë nuk kanë zgjidhje tjetër veçse t’i japin të dhënat e tyre dhe t’i përdorin aplikacionet dhe faqet e internetit që i ofron shteti, pavarësisht nga siguria e tyre. Së këndejmi, u mbetet institucioneve shtetërore që të kujdesen për të dhënat personale të qytetarëve. Mirëpo, kjo deri më tani nuk është dëshmuar si proces më i suksesshëm, përkatësisht është dëshmuar se është një proces në të cilin në të ardhmen duhet të punohet edhe shumë.
Në vitin 2020, pati rënie të sistemit të Komisionit Shtetëror të Zgjedhjeve gjatë mbledhjes së rezultateve zgjedhore. Pas kësaj rënie, sistemi u riparua, por kjo vuri njollë serioze në procesin zgjedhor.
Më tutje, ndodhën një numër më i madh i sulmeve kibernetike në sistemet e institucioneve që posedojnë të dhëna më të ndjeshme personale të qytetarëve. Për shkak të hyrjes pa leje në sistemin e Fondit për Sigurim Shëndetësor, ai qëndroi jofunksional për tre javë. Punonjësit nuk mund të merrnin paga, personat me sëmundje kronike mbetën pa barna, ndërsa qindra mijëra qytetarëve u ishin rrezikuar të dhënat personale. Në gjithë këtë ngjarje, nuk u zbulua asnjëherë për publikun se çfarë ndodhi saktësisht dhe e vetmja gjë që mbeti ishte bindja e autoriteteve kompetente se “të dhënat shëndetësore dhe personale janë plotësisht të sigurta dhe nuk janë vjedhur, ndërsa qytetarët mund të jenë të qetë”.
Në ndërkohë, Ministria e Bujqësisë, Agjencia për Komunikime Elektronike, faqja e Kuvendit, janë vetëm disa nga institucionet që ishin objekt i sulmeve kibernetike.
Zëvendëskryeministrja përgjegjëse për politika të qeverisjes së mirë, Sllavica Gërkovska, shpeshherë porosit se kërcënimet e sigurisë kibernetike evoluojnë në vazhdimësi dhe prandaj profesionistët e sigurisë kibernetike duhet doemos të pajisen me njohuritë dhe mjetet më moderne për t’u mbrojtur në mënyrë efektive kundër tyre. Ajo thotë se vetëm duke ofruar mundësi për trajnim për punonjësit në të gjitha nivelet mund të krijohet një ndjenjë e përgjegjësisë së përbashkët për sigurinë kibernetike.
“Janë shpeshtuar sulmet ndaj sistemeve TI të institucioneve për shkak të zgjidhjeve të vjetruara teknologjike që përdoren dhe stafit të pamjaftueshëm profesional që do të mund t’u përgjigjet sfidave të epokës së re. Agjencia vazhdimisht e thekson nevojën e rritjes së sigurisë së sistemeve TI të institucioneve, sepse pasojat e dëmshme në rast të keqpërdorimit eventual të të dhënave personale të qytetarëve mund të jenë të mëdha dhe të pariparueshme”, thonë nga Agjencia për Mbrojtjen e të Dhënave Personale.
Sipas nenit 69 të Ligjit për mbrojtjen e të dhënave personale, Agjencia përgatit dhe realizon trajnime për punonjësit e kontrolluesve, përkatësisht përpunuesit (nga sektori publik dhe privat), si dhe për oficerët për mbrojtjen e të dhënave personale, me ç’rast pas përfundimit të trajnimit lëshon certifikata për pjesëmarrje në trajnimin për mbrojtjen e të dhënave personale. Këtë vit, përfundimisht me muajin korrik, Agjencia ka realizuar pesë trajnime me 69 pjesëmarrës si përfaqësues të 43 kontrolluesve nga sektori publik dhe privat.
Ky tekst është përgatitur me mbështetje të Bashkimit Evropian. Përmbajtjet në këtë tekst janë përgjegjësia e vetme e partnerëve të projektit “Mbrojtja teknike dhe e integruar e të dhënave personale – ndërtimi i ekosistemit digjital inkluziv” dhe e autorit dhe në asnjë mënyrë nuk i pasqyron qëndrimet e Bashkimit Evropian.
