DPO Albania, shpk, ofron shërbimin e auditimit të brendshëm për mbrojtjen e të dhënave personale për të gjitha kompanitë/institucionet/organizatat (që janë në cilësinë e kontrolluesit dhe/ose përpunuesit), me qëllim evidentimin e nivelit të mbrojtjes të së dhënave brenda tyre, mangësive dhe masave konkrete që duhen marrë, në përputhje me kërkesat e legjislacionit kombëtar të mbrojtjes të së dhënave personale dhe /ose GDPR-së.
Auditimi mund të jetë i “Përgjithshëm” ose “Sektorial”.
Auditimi i përgjithshëm kryhet për të gjithë strukturën organizative, veprimtarinë proceset përpunuese, të kompanisë/institucionit/ organizatës (në cilësinë e kontrolluesit dhe/ose përpunuesit).
Auditimi sektorial (i pjesshëm) kryhet:
- për një proces specifik përpunues;
- për një projekt të caktuar;
- për një aplikacion (faqe Web-i, program etj.) nëpërmjet të cilit mblidhen/përpunohen të dhënat personale ose sensitive;
- për një veprimtari ose shërbim të caktuar të kompanisë;
- për një sektor të caktuar;
- për shërbime që u delegohen palëve të treta (që do të thotë një marrëdhënie e caktuar delegimi apo përpunimi të disa shërbimeve të caktuara nga kompania juaj, në cilësinë e kontrolluesit, te një kompani tjetër, në cilësinë e përpunuesit).
etj.
Shërbimi i auditimit ofrohet për:
- kompaninë/institucionin/organizatën, në cilësinë e kontrolluesit dhe/ose përpunuesit.
- një pale të tretë (kompani tjetër) së cilës kompania juaj (në cilësinë e kontrolluesit), i ka deleguar shërbime. Në këtë rast pala e tretë është në rolin e përpunuesit.
Përsa i përket shkronjë “a” të auditimit, shërbimi kryhet me kërkesë të kontrolluesit dhe/ose përpunuesit, për të verifikuar nivelin faktik, aktual, të mbrojtjes të së dhënave personale nga strukturat e tij të brendshme, me qëllim shmangien e sanksioneve, në rast të një kontrolli të mundshëm, ruajtjen e reputacionit në treg, por edhe në kuadër të plotësimit të standardeve më të mira të shërbimit ndaj klientit/qytetarit për mbrojtjen e të dhënave dhe të privatësisë.
Përsa i përket shkronjë “b” auditimi zbatohet në rastin kur një kompani/ institucion/organizatë (në cilësinë e kontrolluesit) kontakton dhe i delegon, për qëllime të ndryshme, një ose disa shërbime palës së tretë, shërbime gjatë së cilave aksohen e përpunohen të dhëna personale të subjekteve (klientë/qytetarë). Fjala është për të dhëna që disponohen nga kontrolluesi dhe janë përgjegjësi e tij.
Më konkretisht disa raste delegimi/përpunimi dhe rreziqet e mundshme:
- Nëse një spital delegon shërbimin e kryerjes së disa analizave te një laborator tjetër privat, mund të ndodhë që ky laborator t’i publikojë analizat dhe të dhënat e pacientëve ose t’i shesë ato te entitete të tjera, që kanë interes (spitale, kompani farmaceutike etj.)
- Nëse një institucion delegon shërbimin e prodhimit të dokumenteve të caktuara, psh të pasaportave apo kartave të identitetit, mund të ndodhë një “data breach”.
- Nëse një bankë delegon shërbimin e mirëmbajtjes së sistemeve dhe të postës fizike apo të sistemit të kamerave (CCTV), mund të ndodhë rrjedhje e të dhënave.
- Nëse një kompani telekomunikacioni delegon shërbimin e marketingut te një kompani tjetër, mund të ndodhë që kjo kompani, pa marrë miratim, të kryejë marketing në qytetarë, të cilët nuk janë klientë të kompanisë kontraktuese.
- Nëse një kompani bashkëpunon me klinika a spitale të ndryshme, është e detyruar t’u japë atyre të dhënat e klientëve, për qëllime sigurimi shëndetësor, por mund të ndodhë që klinika a spitali këto të dhëna t’i përhapë a t’i shesë te kompani të tjera, të intersuara.
Për këtë arsye është e nevojshme që veprimtaria e përpunuesve lidhur me të dhënat personale që përpunon për llogari të kontrolluesit të kontrollohet/auditohet në mënyrë periodike, nga vetë kontrolluesi.
Ky kontroll mund të kryhet nga ne në mënyrë tepër profesionale, për të shmangur situatat e pakëndshme, rrjedhjen a përhapjen e të dhënave personale, zgjidhjen e ankesave të klientëve/qytetarëve, shkeljet e mundshme, cenimin e reputacionit, aksesin mbi të dhënat personale të klientëve tuaj nga subjekte të tjera, konkurrente në treg (shumë të interesuara), apo për të shmangur sanksionet financiare të larta nga ana e Komisionerit për Mbrojtjen e të Dhënave Personale.
Shërbimi i auditimit mund të ofrohet në mënyrë periodike ose edhe një herë të vetme.
Në përfundim të auditimit ju pajiseni me raportin përkatës të auditit.