Komisioneri për të drejtën e informimit dhe mbrojtjen e të dhënave personale ka gjobitur me 1.92 milionë lekë Byronë Shqiptare të Sigurimit, për disa shkelje të ligjit “Për mbrojtjen e të dhënave personale.
Byroja Shqiptare e Sigurimit (BSHS) përpunon të dhëna personale të individëve të ndryshëm përfitues dëmesh, familjarë, trashëgimtarë, të dhënat e individëve shkaktarë dëmesh, të dhënat e ekspertëve vlerësues të dëmeve shëndetësore dhe materiale, të dhëna të punonjësve dhe anëtarëve të asamblesë, klientëve përfitues të kartonit jeshil, etj.
Nga kontrolli administrativ i ushtruar nga Komisioneri, ka rezultuar se BSHS nuk ka të parashikuar një afat konkret të ruajtjes së të dhënave personale, si për të dhënat e ruajtura në arkivën fizike, edhe në sistemin elektronik. Të gjitha të dhënat e mbledhura për kategoritë e individëve të ndryshëm përfitues apo shkaktarë dëmesh, klientë, etj.ruhen që nga koha e paraqitjes se kërkesës për dëmshpërblim, pa përcaktuar një afat konkret të ruajtjes së tyre, në kundërshtim me parimin e mbrojtjes së të dhënave personale parashikuar në nenin 5 të ligjit.
Zyra e Komisionerit vlerëson se BSHS duhet të parashikojë mbajtjen e të dhënave personale jo më tepër sesa është e nevojshme për të përmbushur qëllimin e grumbullimit të tyre dhe koha e mbajtjes së tyre duhet të përcaktohet nga kontrolluesi, në përputhje me parashikimet ligjore specifike dhe qëllimin e grumbullimit të informacionit.
Gjithashtu, BSHS nuk ka vendosur “Politikat e Privatësise” në faqen zyrtare https://www.insurers-al.org, me qëllim informimin e subjekteve të të dhënave të cilët aksesojnë dhe ngarkojnë të dhëna personale në këtë faqe, në kundërshtim me parashikimet e nenit 18 të ligjit.
Komisioneri vlerëson se informimi i subjekteve te te dhenave personale eshte nje nga detyrimet bazë, pasi u jep mundësinë subjekteve të të dhënave personale të njihen me të drejtat që gëzojne dhe mundësinë e ushtrimit të tyre në praktikë.
Kontrolluesi përpunon të dhëna personale në mënyrë elektronike nëpërmjet “Sistemit të Administrimit të Dëmeve të Byrosë Shqiptare të Sigurimit”. Ky sistem është i përbërë nga dy module apo regjistra, që pasurohen me të dhëna, për llogari të “Fondit të Kompensimit” dhe “Fondi të Kartonit Jeshil”. Sistemi i Administrimit të Dëmeve shërben për regjistrimin elektronik të dosjeve të dëmeve për rastet e shkaktuara nga mjetet e pasiguruara apo të paidentifikuara. Nga kontrolli, është konstatuar se serverat ku ngrihet Sistemi i Administrimit të Dëmeve, nuk ndodhen fizikisht në ambientet e kontrolluesit, por aksesohen nga punonjësi i ngarkuar nëpërmjet një IP tunel.
Një praktikë dëmi, mes të tjerave, përmban të dhëna për ngjarjen, gjeneralitetet e shkaktarit të ngjarjes, gjeneralitetet e përfituesit, vendime gjykate, të dhëna të automjetit të shkaktarit, të dhëna të automjetit të përfituesit, të dhëna shëndetesore, etj.
Nga verifikimet u konstatua se është vetëm një person përgjegjës, me detyrë specialist IT, i cili popullon me të dhëna Sistemin e Administrimit të Dëmeve. Ky punonjës nuk ka atribute në sistem, në rolin e administratorit me të drejta të plota, si edhe nuk është në gjendje të identifikojë apo gjurmojë veprimtarinë e palëve të treta që kryejnë veprime në sistemin elektronik nëpërmjet. Si rrjedhojë, BSHS nuk është në gjendje të kryejë veprime proaktive teknike në sistemin elektronik, me qëllim verifikimin dhe monitorimin e funksionimit të këtij sistemi, në kundërshtim me parashikimet e nenit 27 të ligjit.
Zyra e Komisionerit vlerëson se gjurmueshmëria e veprimeve përpunuese është e rëndësishme për të garantuar konfidencialitetin dhe sigurinë e të dhënave personale dhe për të shmangur edhe pasojat e renda që mund të vijnë në rast të aksesit ose përhapjes së paligjshme të tyre. Sipas Komisionerit, BSHS nuk ka marrë masa organizative dhe teknike të përshtatshme për të mbrojtur të dhënat personale nga shkatërrime të paligjshme, aksidentale, humbje aksidentale, për të mbrojtur aksesin ose përhapjen nga persona të paautorizuar, veçanërisht kur përpunimi i të dhënave kryhet nëpërmjet komunikimeve dhe sistemeve elektronike.
BSHS ka deklaruar se administrimin dhe mirëmbajtjen e këtij sistemi e ka deleguar tek një operator të jashtëm. Nga shqyrtimi i përmbajtjes së kontratës me këtë operator, Zyra e Komisionerit vlerësoi se nuk janë përmbushur detyrimet e sanksionuara në nenin 20 të ligjit, për të siguruar mbrojtjen e të dhenave si dhe hapat që do të ndërmerren në rast cenimi të tyre.
BSHS është sanksionuar me pesë gjoba që kanë një vlerë totale rej 1.92 milionë lekësh si dhe i është vendosur detyrimi për korrigjimin e të gjitha shkeljeve të konstatuara nga Komisionieri.
Monitor
j.l./ dita
“Nga kontrolli, është konstatuar se serverat ku ngrihet Sistemi i Administrimit të Dëmeve, nuk ndodhen fizikisht në ambientet e kontrolluesit, por aksesohen nga punonjësi i ngarkuar nëpërmjet një IP tunel.” Kjo shprehje e kontrolluesit tregon thelbin se përse e kanë kaq të lehtë hakerat që të depertojnë në Shqipëri. Është naivitet që të krijosh modernizimin e të dhënave online dhe të mos krijosh mbrojtjen e tyre. Ato ecin paralelisht dhe nuk mund të bësh njërën pa tjetrën. Duhet t’a ndertoni gjithçka nga e para. Si fillim duhen punonjës të IT-së me eksperiencë, të cilët kanë punuar jashtë Shqipërisë. Këta nuk formohen nga shkollat, nga titujt master, apo PHD, por formohen në punë e sipër. Arsyeja është se Operation System, apo programet e veçanta, janë empirike dhe nuk kanë bazë shkencore. Janë me mijëra komanda, të cilat mund t’i mbash mënd vetëm me praktikë. Duhet centralizim i Administratorit të IT-së, dhe ai lejon me anë të “privilegjeve”, se kush do të ketë akses në sistem. Kështu mbrohet sistemi dhe gjëndet lehtë ai që ka shkelur rregullat. Shkolla dhe kurset të ndihmojnë për të kuptuar strukturën e IT-së, cili sistem është më i sigurtë, por nuk të aftëson për të zbatuar në praktikë, e cila fitohet duke punuar. Kjo është arsyeja që në perëndim nuk të punësojnë pa një 5 vjet eksperiencë, sepse i duan të gatshëm sa fillon punën. Mbrojtjen e sistemit të Operation System, duhet që t’a merrni seriozisht dhe mos spekulloni me lloj, lloj idesh.