Agjencia për Informim dhe Privatësi (AIP) me vendimin e 7 nëntorit 2022 ka shqiptuar gjobë kundërvajtëse në vlerë prej 50 mijë euro nga ‘‘Sigal Uniqa Group Austria’’ për shkeljen e dispozitave për sigurinë e të dhënave personale.

Në vendimin e siguruar nga ‘‘Betimi për Drejtësi’’, thuhet se shqiptohet gjobë kundërvajtëse me vlerë prej 30 mijë euro, ndaj “Sigal Uniqa Group Austria” Sh. A., në cilësinë e kontrolluesit, për shkeljen e dispozitave për sigurinë e të dhënave personale. 

Tutje thuhet se, shqiptohet gjobë kundërvajtëse me vlerë prej 20 mijë euro, ndaj “Sigal Uniqa Group Austria” Sh. A., në cilësinë e kontrolluesit, për shkeljen e përgjithshme të dispozitave të Ligjit Nr. 06/L-082 për Mbrojtjen e të Dhënave Personale, duke ia besuar përpunimin e të dhënave personale një personi tjetër, pa lidhur kontratë me shkrim, siç parashihet në paragrafin 2 të nenit 32 të LMDhP-së.

Të njëjtit me vendim janë urdhëruar, të ndalojnë përkohësisht përpunimin e të dhënave personale përmes shitjes së produkteve në internet (online) deri në marrjen e masave dhe procedurave të nevojshme për sigurimin e të dhënave personale.

Po ashtu, shumën e përcaktuar si më sipër të njëjtit janë obliguar që ta paguajnë në afat prej 30 ditësh si dhe brenda 30 ditësh ta njoftojnë AIP-në me veprimet e ndërmarra për zbatimin e këtij vendimi.

Në pjesën arsyetuese të vendimit thuhet se AIP 20 tetor 2022, përmes postës elektronike (e-mail), ka pranuar një ankesë nga subjekti i të dhënave znj. A.A, që mbanë numrin e protokollit 647.

‘‘Në ankesë, subjekti i të dhënave ka shpjeguar se: “pas blerjes online, Kompania ‘Sigal’ ka bërë publikimin e të dhënave të mia në platformën Google. Të njëjtit kanë larguar të dhënat e mia nga vegëza (linku), por këto të dhëna figurojnë në faqen kryesore të Google sapo të kërkohet emri im në atë platformë. Ka dy javë që këto të dhëna janë publikuar në platformën online dhe në faqe të Kompanisë ‘Sigal’”, thuhet në vendim.

Në vazhdim thuhet se AIP fillimisht, ka mbledhur informacione lidhur me veprimtarinë e Kompanisë “Sigal Uniqa Group Austria” Sh. A. si dhe është kontaktuar subjekti i të dhënave për shpjegime më të detajuara.

Sipas vendimit, përmes zyrtarëve të inspektimit, më 25 tetor 2022, AIP ka filluar procedurën e inspektimit për të vërtetuar pretendimet e ankueses, ku fillimisht kanë kontrolluar web faqen zyrtare të kontrolluesit https://www.sigal-ks.com, e që sipas tyre gjatë inspektimit të web faqes, është konstatuar se kontrolluesi nuk informon subjektet e të dhënave dhe nuk ka ndonjë modalitet për ushtrimin e të drejtave të subjektit, ashtu siç parashihet në nenin 11 dhe 12 të LMDHP-së.

‘‘Në kohën e inspektimit të web faqes së kontrolluesit, nuk është gjetur ndonjë publikim i të dhënave personale. Por, në momentin që është kërkuar në motorët e kërkimit (shfletuesit) “Google.com” dhe “Bing.com”, përmes një kërkimi të thjeshtë, duke shënuar “Porosia Shu – sigal-ks.com”, kanë filluar të shfaqen edhe të 3 dhëna të subjekteve tjera, duke bërë publike kategoritë e të dhënave, si: emri, mbiemri, data e lindjes, mosha, numri i telefonit, numri i letërnjoftimit (i cili paraqet numrin unik identifikues – numrin personal), numri i pasaportës, data e nisjes, data e kthimit dhe shuma e pagesës’’, thuhet në arsyetim të vendimit.

Po ashtu, thuhet se AIP kanë zhvilluar inspektimin në selinë e kontrolluesit me ç’rast është hartuar edhe procesverbal si dhe në vazhdimin e procesit të inspektimit thuhet se kanë kërkuar nga kontrolluesi informacione shtesë lidhur me trajtimin e çështjes së publikimit të të dhënave personale në internet.

Gjithnjë sipas vendimit thuhet se kontrolluesi ka kthyer përgjigje më 31 tetor 2022, po ndër të tjera përfshihet se ‘‘….Për rrjedhjen e të dhënave kemi kuptuar me rastin e pranimit të ankesës nga klientja A.A, me datën 19.10.2022, në ora 16:25. Klientja e ka adresuar ankesën e saj në adresën [email protected], e cila kontrollohet nga Departamenti i Administratës – Recepsioni. Në mungesë të informacionit, zyrtarja përgjegjëse e ka drejtuar ankesën te zyrtarët e Departamentin e TI-së dhe përgjegjësja e produktit, që do të thotë se në mungesë të informacionit dhe adresimit të duhur nuk është njoftuar Agjencia për Informim dhe Privatësi brenda 72 orëve për ankesën. Numri i personave të prekur: 515. Parashtruesja e ankesës ka qenë e informuar nga fillimi për procesin e fshirjes së të dhënave nga ‘search engine’ “Google”. Pas paraqitjes se ankesës nga klientja, është kontaktuar menjëherë BBB (kompani, e cila mirëmbajnë ‘website’ e kompanisë tonë) për fshirjen e të dhënave të të gjithë klientëve, të cilat 4 janë publikuar. BBB, menjëherë, ka fshirë të dhënat e publikuara në’ Google search engine’. Deri në momentin që kemi pasur inspektim nga ana juaj, ne nuk kemi qenë të informuar që të dhënat janë gjithashtu të publikuara edhe në ‘Yahoo’ dhe ‘Bing search engine’. Sapo kemi marr këtë informacion, menjëherë kemi kontaktuar BBB më datën 25-10-2022 dhe me urgjencë kemi kërkuar edhe nga ata që t’i fshijnë të gjitha të dhënat e publikuara në ‘search engines’ tjera. Më datën 26-10-2022 kemi pranuar konfirmimin nga BBB që të dhënat e klientëve janë fshirë edhe në ‘search engines’ tjera. Gjithashtu, kemi kërkuar që menjëherë të ndërpritet moduli i shitjes ‘online’ për të gjitha produktet. Politika për mbrojtjen e te dhënave personale është aprovuar me datën 03-06-2019 dhe është ne disponueshmëri në ‘server’ për të gjithë punonjësit e kompanisë….’’.

Ndërkaq, në pjesën e vendimit të analizës ligjore dhe të gjetura, thuhet se Ligji Nr. 06/L-082 për Mbrojtjen e të Dhënave Personale (LMDhP) përcakton të drejtat, përgjegjësitë, parimet dhe masat ndëshkuese lidhur me mbrojtjen e të dhënave personale dhe privatësinë e individit, e po ashtu në nenin 4, ka përcaktuar parimet themelore për përpunimin e të dhënave personale që duhen respektuar me rastin e përpunimit të të dhënave personale, siç janë: parimi i ligjshmërisë, parimi i kufizimit të qëllimit, parimi i minimizimit të të dhënave, parimi i saktësisë, parimi i kufizimit të ruajtjes, parimi i paprekshmërisë dhe konfidencialitetit dhe në fund, parimi i llogaridhënies, i cili përcakton se kontrolluesi duhet të jetë përgjegjës dhe në gjendje të zbatojë përputhshmërinë e të gjitha parimeve të përcaktuara si më lart.

Tutje, thuhet se kontrolluesi, gjatë ofrimit të shërbimeve në internet (online), shitjes së policave, ka ndërtuar modulin e shitjes, i cili, përmes plotësimit të fushave me të dhëna personale, nga subjekti i të dhënave ka pranuar të dhënat personale, por që nuk ka njoftuar subjektin e të dhënave sipas 8 nenit 12 të LMDhP-së.

‘‘Ndërsa, sipas dokumentit “Politika për Mbrojtjen e të Dhënave Personale”, në pikën 4.3.4, vet kontrolluesi ka përcaktuar se çdo web faqe e jashtme e ofruar nga kontrolluesi do të përfshijë një “Njoftim Privatësie/Privacy Notice” në internet dhe një linjë interneti “Njoftimi i Cookies/Cookies Notification” që përmbushë kërkesat ligjore. Pas inspektimit të bërë nga ana e Agjencisë, është konstatuar se edhe pse kjo është paraparë në këtë dokument, kontrolluesi në praktikë nuk ka zbatuar këtë pikë të politikës, të cilën vet e ka miratuar më datë 03.06.2019’’, sqarohet tutje në vendim.

Tutje sipas AIP-së, shkaku i shkeljes së të dhënave personale është bërë si pasojë e zhvillimit të modulit të shitjeve në internet (online), i cili, të gjitha porositë që gjenerohen nga shtija në internet, i gjeneron në kuadër të ‘Wordpress Page’ dhe statusin e shitjeve apo porosive, e ka ruajtur si publik dhe ka lejuar qasje në të dhënat personale të blerësit apo porosisë së policës, si dhe ka mundësuar që motorët e kërkimit-shfletuesit (si Google, Bing, etj.), të mbledhin këto të dhëna për të shërbyer gjatë kërkimeve.

Në vendim thuhet se sipas të dhënave që AIP ka siguruar nga web faqja https://web.archive.org, e cila arkivon faqe të internetit dhe deri më tani ka mbi 650 miliardë faqe të arkivuara, në të cilën gjendet edhe faqja e kontrolluesit, shërbimi i blerjes së policave të sigurimit për shëndetin në udhëtim është lansuar të paktën dy vite më herët, që do të thotë se shkelja e të dhënave ka ndodhur që nga zhvillimi dhe lansimi i këtij moduli të blerjes.

Sipas AIP-së, kontrolluesi nuk ka marrë masat e duhura teknike dhe organizative për të siguruar një nivel sigurie të përshtatshëm ndaj rreziqeve të përfshira në përpunimin e të dhënave personale nga kontrolluesi i të dhënave.

Ndërkaq thuhet se kontrolluesi ka pranuar faktin se mirëmbajtjen së web-faqes së internetit ia ka besuar një kompanie të jashtme dhe se dokumenti “Ofertë për Sigal Uniqa Group Austria – Kosovë”, si dhe marrëveshja për moszbulim dhe konfidencialitet (NDA), sipas AIP-së nuk përmbushin kriteret e përcaktuara në ligj për përpunimin e kontraktuar të të dhënave.

Po ashtu thuhet se kontrolluesi, edhe pse ka ardhur në dijeni se përveç parashtruesit të ankesës, në këtë shkelje janë të përfshirë edhe persona të tjerë, i njëjti nuk ka përmbushur detyrimin e tij për të ndërmarrë veprime, ashtu siç është përcaktuar në nenin 34 të LMDhP-së, pra nuk ka njoftuar subjektet e të dhënave lidhur me shkeljen e ndodhur.

Në vazhdimin e arsyetimit të vendimit thuhet se AIP ka konstatuar se kontrolluesi, me rastin e ofrimit të shërbimit të shitjeve përmes internetit (online), fillimisht nuk ka njoftuar subjektet e të dhënave me rastin e grumbullimit të të dhënave personale, siç përcaktohet në nenin 4, paragrafi 1, nenin 11, nenin 12 të LMDhP-së.

Po ashtu,  thuhet se gjatë përpunimit të të dhënave personale nuk ka ndërmarrë masat e duhura të sigurisë së përpunimit të të dhënave personale, siç përcaktohet në nenin 31 të LMDhP-së.

Kurse, me rastin e delegimit të mirëmbajtjes së shërbimeve të web faqes së kontrolluesit, thuhet se të njëjtit nuk kanë lidhur kontratë për përpunimin e të dhënave personale, siç përcaktohet në nenin 32.

Dhe se pas marrjes së informacionit lidhur me shkeljen e të dhënave personale, brenda afatit ligjor nuk ka njoftuar Agjencinë si dhe subjektet e të dhënave personale, ashtu siç përcaktohet në nenin 33 dhe nenin 34 të LMDhP-së.

Kundër këtij vendimi nuk lejohet ankesa, por që pala e pakënaqur mund të iniciojë konflikt administrativ në Gjykatën Themelore në Prishtinë, Departamenti për Çështje Administrative, brenda afatit prej 30 ditësh.

Vendimi tashmë është publikuar edhe në webfaqen e Agjencisë për Informim dhe Privatësi dhe mund ta gjeni KËTU