Të dhëna personale si në “pazar” në RMV: Në vend që të mbrohen, servohen për keqpërdorim

Megjithatë, realiteti tregon edhe një aspekt tjetër të historisë – në vend që vetë institucionet t’i mbrojnë qytetarët nga ky lloj keqpërdorimi – ata i bëjnë ata në shënjestra të mundshme të krimit kibernetik. Dokumentet zyrtare të publikuara nga institucionet shtetërore dhe komunat “ndajnë” të dhëna personale të qytetarëve – emrin dhe mbiemrin, numrin amzë të qytetarit, adresën e banimit sipas letërnjoftimit, email-in, bankën në të cilën derdhen të ardhurat dhe vetë llogarinë transaksionale. Me “servim” të këtillë të të dhënave personale përballen me qindra qytetarë të zakonshëm, por edhe investitorët dhe kompanitë e tyre. Në “detin” e të dhënave personale Radio Evropa e Lirë gjeti edhe identitetin plotësisht të publikuar të një biznesmeni të njohur nga Maqedonia, i cili është në listën e zezë të Departamentit të Shtetit të SHBA-ve. Personat të dhënat e të cilëve zbulohen publikisht shpesh herë nuk janë në dijeni se të dhënat e  tyre personale janë të disponueshme online, gjë që mund t’i ekspozojë ata ndaj formave të ndryshme të keqpërdorimit, shpjegon Liljana Pecova Ilievska, eksperte me përvojë të gjerë në fushën e sigurisë digjitale, anëtare e OJQ-së “IMPETUS”. “Në këto keqpërdorime mund të bëjë pjesë vjedhja e identitetit, mashtrimi financiar, përdorimi i paautorizuar i llogarive bankare, aktivitetet mashtruese përmes email-it dhe inxhinieria sociale. Në disa raste të dhënat personale mund të përdoren edhe për ndjekje, kërcënime dhe forma të tjera të ngacmimit psikologjik dhe digjital”, thotë Pecova Ilievska. Ajo thotë se lështimi nuk është vetëm i institucioneve, por edhe i Agjencisë për Mbrojtjen e të Dhënave Personale, e cila është organi rregullator përgjegjës për mbikëqyrjen e ligjshmërisë së përpunimit të të dhënave personale dhe sigurimin e konfidencialitetit dhe mbrojtjes.

Gabim i pranuar

REL kontaktoi menaxheren dhe bashkëpronaren e një kompanie, projektet e së cilës janë publikuar në uebfaqet e disa komunave në mbarë vendin. Në dokumentet e disponueshme publikisht mund të shihet emri dhe mbiemri i saj, adresa dhe numrin amzë, si dhe të dhënat e dy bashkëpronarëve të tjerë. “Po i kontrolloj të gjitha projektet në të cilat kemi punuar tani që ma treguat ju këtë informacion dhe jam e shtangur. Nuk e dija që ishte kështu dhe sinqerisht nuk isha e vetëdijshme. Shumë lehtë mund të ishim bërë viktima të keqpërdorimit. Më kujtohet që një herë na kontaktuan nga komuna e Manastirit dhe na kërkuan që t’i mbulojmë vetë të dhënat personale, gjë që e bëmë. Por në të gjitha të tjerat që po i shoh tani, ato janë ende të hapura”, thotë bashkëbiseduesja jonë. Ajo na tha se do të jetë e detyruar që t’u drejtohet të gjitha komunave ku kanë marrë pjesë me projekte për t’i hequr të dhënat që duhet të jenë të mbrojtura. Sipas Ligjit për Mbrojtjen e të Dhënave Personale dhe Rregullores së Përgjithshme për Mbrojtjen e të Dhënave Personale, të gjitha institucionet publike, përfshirë këtu ministritë dhe komunat, kanë detyrim ligjor që të emërojnë një zyrtar (kontrollues) për mbrojtjen e të dhënave personale. Detyra e tyre është të sigurojnë konfidencialitet dhe mbrojtje të të dhënave personale të qytetarëve gjatë përpunimit të tyre, ndërsa Agjencia për Mbrojtjen e të Dhënave Personale është organi kryesor për kontrollin dhe ndëshkimin e shkeljeve. Për atë se pse nuk janë anonimizuar të dhënat në projektet e kompanisë dhe janë bërë të dukshme për të gjithë në internet, pyetëm dy nga më shumë komunat që e zbatojnë këtë praktikë – Shtip dhe Ohër. Nga komuna e Shtipit nuk morëm përgjigje, ndërsa nga komuna e Ohrit zyrtarët e pranuan gabimin. “Ju informojmë se në dokumentin e theksuar është bërë një lëshim sepse bëhet fjalë për një dokument të një personi juridik dhe të dhënat personale të pronarëve që duhej të mbroheshin nuk janë vënë re. Janë marrë masa të menjëhershme dhe u dhanë udhëzime për eliminimin e mangësitë në pajtim me Ligjin për Mbrojtjen e të Dhënave Personale. Ju informojmë se në të ardhmen nuk do të bëhen lëshime të këtilla”, na thanë në një përgjigje të përbashkët dy zyrtarët në komunë, Vlladimir Risteski dhe Sasho Jovanoski. Raste të tilla të zbulimit të të dhënave personale të qytetarëve dhe investitorëve ka edhe në dokumentet zyrtare të publikuara nga dhjetëra komuna e që kanë të bëjnë me ndërtimin e projekteve infrastrukturore. Këto dokumente janë publikuar edhe gjendjet aktuale të kompanive nga Regjistri Qendror me të gjitha të dhënat personale të pronarëve të tyre. Qëndrimi i Аgjencisë për Mbrojtjen e të Dhënave Personale është se numri amzë, adresa e banimit, numri i telefonit, email-i ose të dhënat bankare të individëve në të shumtën e rasteve nuk janë të domosdoshme për qëllime të transparencës dhe nuk duhet të publikohen publikisht. “Çdo kontrollues ka për detyrë të kryejë vlerësim të rrezikut para publikimit dhe nëse publikohen të dhëna personale t’i zbatojë këto masa: anonimizimin ose pseudonimizimin e të dhënave personale, kufizimin e qasjes, mbajtjen e evidencës për veprimet e përpunimit të të dhënave personale”, thanë nga Agjencia për REL.

Identitet i plotë nga A-ja deri në Zh

REL kërkoi mendim nga Agjencia duke përmendur edhe një shembull tjetër – një ofertë të publikuar nga Byroja e Prokurimeve Publike, në të cilën personi që fitoi tenderin nuk ishte i mbrojtur duke ju fshehur të dhënat personale. Agjencia për Mbrojtjen e të Dhënave Personale përgjegjësinë e drejton nga vetë Byroja e Prokurimeve Publike duke vlerësuar se publikimi i numrit amzë të qytetarit është “i papërshtatshëm, i parëndësishëm dhe i tepërt në lidhje me qëllimin për të cilin përpunohet, me çka është bërë shkelje e Ligjit për Mbrojtjen e të Dhënave Personale”. “Oferta që përmbante të dhëna personale nuk duhej të ishte publikuar fare, sepse kjo nuk është e paraparë me rregulloret për prokurime publike. Me këtë detyrimi ligjor për mbrojtje adekuate të të dhënave personale të qytetarëve nuk është respektuar”, thane nga Agjencia për REL. Nga Byroja e Prokurimeve Publike si përgjigje për Radion Evropa e Lirë thanë se kanë emëruar zyrtarë për mbrojtjen e të dhënave personale, por theksojnë se përgjegjësia për informacionin nga kontratat e lidhura që publikohen në Sistemin Elektronik të Prokurimeve Publike i takon institucionit që e zbaton tenderin. Nga atje shtojnë se nëse bëhet fjalë për një shkelje të mundshme, raportimet dhe ankesat duhet t’i drejtohen personit përgjegjës dhe të autorizuar në institucion. “Autoritetet kontraktuese detyrimisht bashkëngjisin një kopje të skanuar të vetë kontratës dhe janë gjithashtu përgjegjës për përmbajtjen, plotësinë ose anonimizimin e saj. Deri më tani në Byronë e Prokurimeve Publike nuk ka pasur raportime ose ankesa në lidhje me zbatimin e gabuar të Ligjit për Mbrojtjen e të Dhënave Personale”, u përgjigjën nga Byroja për REL.

Sipas Ligjit për Mbrojtjen e të Dhënave Personale nëse personi juridik – kontrolluesi ose përpunuesi i të dhënave nuk vepron në përputhje me parimet themelore për përpunimin e të dhënave personale ose kryen përpunim të paligjshëm mund të gjobitet deri në 4% të të ardhurave të tij të përgjithshme vjetore të gjeneruara në vitin paraprak. Përveç kësaj, për shkeljen e detyrimeve që kanë të bëjnë me sigurinë e të dhënave mund të shqiptohet gjobë deri në 2% të të ardhurave vjetore. Në të dyja rastet, përveç gjobave për personin juridik, parashihet edhe një gjobë prej 300 deri në 500 euro për zyrtarin në organizatë.

Në periudhën janar-gusht të vitit 2025 supervizorët në Agjencinë për Mbrojtjen e të Dhënave Personale kanë dorëzuar vetëm 2 kërkesa për fillimin e procedurave për kundërvajtje, në përputhje me ligjin. Për njërën kërkesë është shqiptuar dënim për të cilin është duke u zhvilluar procedurë gjyqësore dhe procedura ende nuk ka përfunduar në përputhje me ligjin. Për kërkesën e dytë ende po vijon procedura para Komisionit për Kundërvajtje të Agjencisë. Sipas Pecova Ilievska roli i Agjencisë për Mbrojtjen e të Dhënave Personale është qenësor për parandalimin e incidenteve të tilla. “Agjencia mund dhe duhet t’i hetojë në mënyrë aktive rastet e këtilla, të shqiptojë sanksione dhe të prezantojë masa shtesë për përforcimin e sistemit të mbrojtjes së të dhënave personale”, thotë ajo.

Praktikë e vjetër që duhet të ndryshohet

Siguria kibernetike sot është një nga prioritetet kryesore kombëtare. Me digjitalizimin gjithnjë e më intensiv të shoqërisë rreziku nga sulmet dhe incidentet kibernetike po rritet ndjeshëm. Vitet e kaluara kanë dëshmuar se Maqedonia e Veriut nuk është imune ndaj fenomeneve të tilla. A po përballemi me një situatë paradoksale në të cilën shteti miraton ligje për sigurinë kibernetike, ndërsa në të njëjtën kohë institucionet e tij i ekspozojnë qytetarët ndaj krimit të mundshëmministri i transformimit digjital Stefan Adnonovski thotë – “nuk është një paradoks, por një realitet me të cilin po përballemi hapur”. Sipas tij transformimi digjital nënkupton një ndryshim të shpejtë të proceseve, por në të njëjtën kohë një rritje të ndjeshme të ndërgjegjësimit dhe kapaciteteve për mbrojtjen e të dhënave. “Ajo që po e shohim tani është rezultat i praktikave shumëvjeçare të publikimit të dokumenteve pa kujdes të mjaftueshëm ndaj privatësisë. Detyra jonë është pikërisht që ta kapërcejmë këtë situatë dhe të sigurojmë një sistem në të cilin të dhënat personale do të mbrohen me standardet më të larta dhe institucionet do të kenë përgjegjësi të plotë për sigurinë e tyre”, tha Andonovski për Radion Evropa e Lirë. Ai shtoi se Ministria e Transformimit Digjital ka një qëllim të qartë, që janë standardet e reja më të larta për sigurinë e sistemit, ndërtimin e një kulture të përgjegjshme të punës me të dhënat në të gjitha organet administrative dhe informimin e qytetarëve në mënyrë që të zvogëlohet rreziku që qytetarët të bëhen viktima të vjedhjes së identitetit. Shteti për herë të parë ka miratuar një Ligj për Sigurinë Kibernetike për t’i mbrojtur institucionet dhe qytetarët, ndërsa zbatimi i tij do të fillojë më 1 janar të vitit të ardhshëm.