1. PARIMET

1.1 Transparenca e Përpunimit të të Dhënave

1.1.1 E drejta e Informimit  

Subjektet e të dhënave do të informohen për përdorimin e të dhënave të tyre në përputhje me legjislacionin në fuqi dhe kushtet e mëposhtme. 

1.1.2 Përmbajtja dhe Forma e Informacionit

(1) Shoqëria do të informojë subjektet e të dhënave në mënyre efektive rreth çështjeve të mëposhtme:

a) Identifikimi i përpunuesit të të dhënave dhe të dhënat e tyre të kontaktit.

b) Përdorimi i paramenduar dhe qëllimi i përdorimit të të dhënave. Ky informacion duhet të përfshijë të dhënat që po rregjistrohen dhe / ose po përpunohen / përdoren, pse, për çfarë qëllimi dhe për sa kohë.  

c) Nëse të dhënat personale janë transferuar apo transmetuar tek palët e treta, duhet të dihet marrësi, fusha dhe qëllimi i këtij transferimi apo transmetimi. 

d) Të drejtat e subjekteve të të dhënave në lidhje me përdorimin e të dhënave të tyre.

(2) Pavarësisht nga metoda e zgjedhur, subjekteve të të dhënave duhet t’u jepet ky informacion në mënyre të qartë dhe lehtësisht të kuptueshme.

1.1.3 Disponueshmëria e Informacionit

Informacioni duhet të jetë i disponueshëm për subjektet e të dhënave pasi të dhënat janë mbledhur dhe më pas, kurdo që ky informacion të kërkohet.

2. KUSHTET E PRANUESHMËRISË PËR PËRDORIMIN E TË DHËNAVE PERSONALE

2.1 Parimet

Të dhënat personale do të përdoren vetëm sipas kushteve të mëposhtme dhe jo për qëllime të tjera të ndryshme nga ato për të cilat janë mbledhur. Përdorimi i të dhënave të mbledhura për qëllime të tjera do të lejohet vetëm nëse kushtet e pranueshmërisë janë përmbushur në përputhje me kushtet e mëposhtme:

2.2 Pranueshmëria e Përdorimit të të Dhënave Personale

Të dhënat personale mund të përdoren nëse përmbushen një ose më shumë nga kriteret e mëposhtme:

a) Është e lejueshme ligjërisht që të dhënat të përdoren për qëllimin për të cilin janë mbledhur.

b) Subjekti i të dhënave ka pranuar që të dhënat e tij / saj të përdoren.

c) Është e nevojshme të përdoren të dhënat në këtë mënyrë me qëllim që kompania të përmbushë detyrimet e saj sipas marrëveshjes me subjektin e të dhënave, duke përfshirë këtu detyrimet e tyre kontraktuale dhe / ose detyrimet sekondare, apo në mënyrë që kompania të implementojë masat para ose pas kontraktimit për fillimin apo përpunimin e një marrëveshjeje e cila është kërkuar nga subjekti i të dhënave.  

d) Të dhënat duhet të përdoren për të përmbushur detyrimet ligjore të kompanisë.

e) Është e nevojshme të përdoren të dhënat për të mbrojtur interesat vitale të subjektit të të dhënave.

f) Është e nevojshme të përdoren të dhënat për të plotësuar një detyrë e cila është në interes të publikut të gjerë apo që është pjesë e ushtrimit të autoritetit publik dhe me të cilën është ngarkuar kompania apo pala e tretë të cilës i janë transferuar të dhënat.

g) Është e rëndësishme të përpunohen të dhënat në mënyrë që të zbatohen interesat legjitime të kompanisë apo të palës / palëve të treta të cilave ju janë transmetuar të dhënat, për sa kohë është e qartë që këto interesa nuk tejkalohen nga interesat e subjektit të të dhënave të cilat kërkojnë mbrojtje.  

2.3 Pëlqimi nga Subjekti i të Dhënave  

Do të konsiderohet se subjekti i të dhënave ka dhënë miratimin e tij / saj në përputhje me shkronjën “b” të mëposhtme të Rregullave të Detyrueshme të Kompanisë për Privatësinë, nëse: 

a) Pëlqimi është dhënë shprehimisht, vullnetarisht dhe bazuar në informacione të cilat e bëjnë të ndërgjegjshëm subjektin e të dhënave për qëllimin për të cilin ai / ajo jep pëlqimin. Formulimi i deklaratave të pëlqimit duhet të jetë mjaft i saktë dhe duhet të informojë subjektet e të dhënave për të drejtën e tyre për të tërhequr pëlqimin e dhënë në çdo kohë. Subjekti i të dhënave duhet të informohet se për modelet e biznesit tërheqja shkakton mospërmbushjen e detyrimeve kontraktuale.

b) Pëlqimi është marrë në një formë të përshtatshme me rrethanat (me shkrim). Në raste të veçanta ai merret verbalisht, nëse fakti i pëlqimit dhe rrethanat e veçanta që e bëjnë pëlqimin verbal të pranueshëm janë të dokumentuara në mënyrë të mjaftueshme (mjete elektronike).

2.4 Vendimet Individuale Automatike

a) Vendimet që vlerësojnë aspektet individuale të një personi dhe mund të sjellin pasoja ligjore për të, apo që mund të kenë një ndikim të konsiderueshëm negativ për të, nuk duhet të bazohen totalisht në përdorimin e të dhënave të automatizuara. Kjo përfshin në veçanti vendime për të cilat të dhënat janë të rëndësishme për aftësinë kreditore, përshtatshmërinë profesionale apo gjendjen shëndetësore të subjektit të të dhënave.

b) Nëse, në raste individuale, ka një nevojë objektive për të marrë vendime të automatizuara, subjekti i të dhënave duhet të njoftohet menjëherë për rezultatin e vendimit të automatizuar dhe duhet t’i jepet mundësia për të komentuar brenda një periudhe kohore të përshtatshme. Komentet e subjektit të të dhënave duhet të merren në konsideratë para marrjes së vendimit përfundimtar.

2.5 Përdorimi i të Dhënave Personale për Qëllime të Marketingut të Drejtpërdrejtë

Kur të dhënat përdoren për qëllime marketingu të drejtpërdrejtë, subjekti i të dhënave duhet të jetë:

a) I informuar për mënyrën se si do të përdoren të dhënat e tyre për qëllimet e marketingut të drejtpërdrejtë.

b) I informuar për të drejtën e tyre për të kundërshtuar, në çdo kohë, përdorimin e të dhënave të tyre personale për komunikimet e marketingut të drejtpërdrejtë.

c) Të përgatitur për të ushtruar të drejtën e tyre për mos-marrjen e komunikimeve të tilla. Ata do të marrin, në veçanti, informacion rreth Shoqërisë kundrejt të cilës do të bëhet kundërshtimi.

2.6 Kategoritë e Veçanta të të Dhënave Personale

a) Përdorimi i kategorive të veçanta të të dhënave do të lejohet vetëm kur udhëhiqet nga rregulloret ligjore apo kur pëlqimi i subjektit të të dhënave është marrë paraprakisht. Gjithashtu, do të jetë i lejueshëm, nëse është e nevojshme, përpunimi i të dhënave për të përmbushur të drejtat dhe detyrimet e kompanisë në fushën e ligjit të punës, me kusht që të merren masa të përshtatshme për mbrojtjen dhe të mos ndalohet sipas ligjit vendas. 

b) Para fillimit të mbledhjes, përpunimit apo përdorimit, kompania duhet të infomojë Përgjegjësin për Privatësinë e të Dhënave (shkurtimisht “DPO”) në përputhje me rrethanat dhe ta dokumentojë këtë veprim. Gjatë vlerësimit të pranueshmërisë, vëmendje e veçantë duhet t’i kushtohet natyrës, fushës, qëllimit, domosdoshmërisë dhe bazës ligjore për përdorimin e të dhënave.

2.7 Minimizimi, Shmangia, Anonimizimi dhe Pseudonimizimi i të Dhënave

(1) Të dhënat personale duhet të jenë të përshtatshme, të rëndësishme dhe jo të tepruara përsa i përket përdorimit të tyre për një qëllim specifik (minimizimi i të dhënave). Të dhënat do të përpunohen vetëm brenda një aplikimi, kur është e nevojshme (shmangia e të dhënave).

(2) Kur është e mundur dhe ekonomikisht e arsyeshme, procedurat do të përdoren për të fshirë karakteristikat e identifikimit të subjekteve të të dhënave (anonimizimi) apo për të zëvendësuar karakteristikat e identifikimit me karakteristika të tjera (pseudonimizimi).

3. TRANSFERIMI I TË DHËNAVE PERSONALE

3.1 Natyra dhe Qëllimi i Transferimit të të Dhënave Personale  

(1) Të dhënat personale do të tranferohen vetëm kur pala marrëse mban përgjegjësi për të dhënat e marra (trasferimi) apo vetëm kur marrrësi i përdor të dhënat në përputhje me instruksionet dhe kërkesat e palës trasferuese (marrëveshja e përpunimit të porositur të të dhënave).  

(2) Të dhënat personale do të tranferohen vetëm për qëllimet e lejuara bazuar në pikën (2.3) të Rregullave të Detyrueshme të Kompanisë për Privatësinë (Politika e Privatesise) si pjesë e aktiviteteve të biznesit të kompanisë apo detyrimeve ligjore, apo sipas pëlqimit të subjekteve të të dhënave.

3.2 Transmetimi i të dhënave

(1) Nëse një Shoqëri u transmeton të dhëna organeve me seli në vendet e treta apo që transmetojnë të dhëna përtej kufijve kombëtarë, duhet të ndërmerren hapa për tu siguruar që këto të dhëna do të transmetohen siç duhet. Privatësia e duhur e të dhënave dhe kërkesat për sigurinë e të dhënave duhet të dakortësohen me marrësin para transmetimit të tyre. Për më shumë, të dhënat personale, veçanërisht të dhënat e mbledhura në BE apo në Zonën Ekonomike Europiane (ZEE), do të transmetohen vetëm tek Kontrolluesit jashtë BE-së nëse është siguruar niveli i duhur i privatësinë së të dhënave duke përdorur Rregullat e Detyrueshme të Kompanisë për Privatësinë (Politika e Privatësisë), apo edhe masa të tjera të përshtatshme, siç janë Klauzolat Kontraktuale Standarte të BE-së apo Marrëveshjet Kontraktuale Individuale që përmbushin kërkesat përkatëse të legjistacionit kombëtar dhe atij Europian.    

(2) Bazuar në kërkesat e kompanisë dhe përgjithësisht në standartet e njohura organizative dhe teknike, duhet të merren masat e duhura oganizative dhe teknike për të garantuar sigurinë e të dhënave personale, duke përfshirë këtu edhe trasmentimin e tyre tek një palë tjeter.

3.3 Përpunimi i të Dhënave të Porositura

(1) Kur një Shoqëri (klienti) porosit një palë të tretë (kontraktuesi) të kryejë shërbime në emër të tij sipas instruksioneve të tyre, atëherë, përveç marrëveshjes së shërbimit që përfshin punën që do të kryet, marrëveshja do ti referohet gjithashtu detyrimeve të kontraktuesit si palë e porositur për të përpunuar të dhënat. Këto detyrime do të përcaktojnë instruksionet e klientit në lidhje me llojin dhe mënyrën e përpunimit të të dhënave personale, qëllimin e përpunimit dhe masat teknike dhe organizative që kërkohen për mbrojtjen e të dhënave.

(2) Kontraktuesi nuk duhet t’i përdorë të dhënat personale (të besuara atij për kryerjen e porosisë) për qëllimet e tij të përpunimit apo të palëve të treta pa pëlqimin paraprak të klientit. Kontraktuesi duhet të informojë klientin paraprakisht nëse ka në plan të nënkontraktojë punën tek palët e treta në mënyrë që të përmbushë detyrimet kontraktuale. Klienti ka të drejtë të kundërshtojë nënkontraktimin. Kur nënkontraktorët përdoren në mënyrën e lejuar, kontraktuesi duhet t’i detyrojë ata të përmbushin kërkesat e marrëveshjeve të lidhura midis kontraktuesit dhe klientit.  

(3) Nënkontraktuesit do të zgjidhen sipas aftësisë së tyre për të përmbushur kërkesat e sipërpërmenduara.

4. CILËSIA DHE SIGURIA E TË DHËNAVE

4.1 Cilësia e të Dhënave

(1) Të dhënat personale duhet të jenë të sakta dhe, kur është e nevojshme, të mbahen të përditësuara (cilësia e të dhënave).

(2) Për arsye të qëllimit për të cilin përdoren të dhënat, duhet të merren masat e duhura për të siguruar se çdo informacion i pasaktë apo i paplotë duhet fshirë, bllokuar apo, nëse është e nevojshme, korrigjuar. 

4.2 Siguria e të Dhënave – Masat Teknike dhe Organizative

Kompania duhet të marrë masat e duhura teknike dhe organizative për proçeset e kompanisë, sistemet e IT dhe platformat e përdorura për të mbledhur, përpunuar apo përdorur të dhënat në mënyrë që t’i mbrojnë këto të dhëna. 

Masa të tilla duhet të përfshijnë:

a) Parandalimin e personave të paautorizuar nga aksesi i sistemeve të përpunimit të të dhënave ku përpunohen apo përdoren të dhënat personale (e drejta e kontrollit);

b) Sigurimin e sistemeve të përpunimit të të dhënave të cilët nuk mund të përdoren nga persona të paautorizuar (kontrolli i refuzimit të përdorimit);

c) Sigurimin që këta persona të autorizuar për të përdorur sistemin e përpunimit të të dhënave, janë në gjendje të aksesojnë vetëm të dhënat për të cilat u është lejuar aksesi, dhe se të dhënat personale nuk mund të lexohen, kopjohen, ndryshohen apo fshihen nga persona të paautorizuar gjatë përpunimit, përdorimit apo pas regjistrimit (kontrolli i aksesit të të dhënave);

d) Sigurimin se, gjatë transmetimit elektronik apo gjatë transportimit apo rregjistrimit të tyre në pajisjet e ruajtjes së të dhënave, të dhënat personale nuk mund të lexohen, kopjohen, ndryshohen apo fshihen nga persona të paautorizuar, dhe se është e mundur të kontrollosh dhe të identifikosh kontrollorët të cilëve do t’ju transmetohen të dhënat nga pajisja e transmetimit të të dhënave (kontrolli i transmetimit të të dhënave);  

e) Sigurimin se është e mundur retrospektivisht të ekzaminosh dhe të përcaktosh nëse dhe nga kush janë futur, ndryshuar apo fshirë të dhënat personale në sistemet e përpunimit të të dhënave (kontrolli i futjes së të dhënave);

f) Sigurimin se të dhënat personale të nënkontraktuara mund të përpunohen vetëm në përputhje me instruksionet e klientit (kontrolli i kontraktorit);

g) Sigurimin se të dhënat personale janë të mbrojtura nga shkatërrimi aksidental apo humbja (kontrolli i disponueshmërisë);

h) Sigurimin se të dhënat të cilat janë mbledhur për qëllime të ndryshme do të përpunohen të ndara (rregulli i ndarjes).  

5. TË DREJTAT E SUBJEKTEVE TË TË DHËNAVE

5.1 E Drejta e Informimit

(1) Subjektet e të dhënave kanë të drejtë që në çdo kohë të kontaktojnë çdo kompani që përdor të dhënat e tyre dhe t’u kërkojnë informacionin e mëposhtëm:

a) të dhënat personale të mbajtura për ta, duke përfshirë këtu origjinën dhe marrësin(it) e tyre;

b) qëllimi i përdorimit;

c) personat dhe kontrolluesit, të cilëve u transmetohen rregullisht të dhënat e tyre, veçanërisht nëse të dhënat transmetohen jashtë vendit;

d) dispozitat e këtyre Rregullave të Detyrueshme të Kompanisë për Privatësinë.

(2) Informacioni përkatës duhet t’i vihet në dispozicion kërkuesit në formë të kuptueshme brenda një periudhe kohore të arsyeshme. Kjo zakonisht bëhet me shkrim ose elektronikisht. Sigurimi i një kopjeje të këtyre Rregullave të Detyrueshme të Kompanisë për Privatësinë do të mjaftojë si mjet për të komunikuar informacionin për kërkesat e tyre.

Nëse ligjet përkatëse vendase e lejojnë, një subjekt mund edhe të paguajë tarifë për dhënien e informacionit përkatës.  

5.2 E Drejta për të Kundershtuar, Fshirë apo Bllokuar, si dhe për të Ndryshuar të Dhënat.

(1) Subjektet e të dhënave mund të kundërshtojnë përdorimin e të dhënave të tyre në çdo kohë nëse këto të dhëna po përdoren për qëllime të cilat nuk janë të detyrueshme me ligj.

(2) E drejta për të protestuar do të aplikohet gjithashtu në rastin kur subjektet e të dhënave kanë dhënë pëlqimin e tyre paraprakisht për përdorimin e të dhënave të tyre.

(3) Kërkesat legjitime për të fshirë dhe bllokuar të dhënat do të përmbushen menjëherë. Kërkesa të tilla janë legjitime veçanërisht kur baza ligjore për përdorimin e të dhënave nuk është më e zbatueshme. Nëse një subjekt i të dhënave ka të drejtë të fshijë të dhënat, por fshirja e tyre nuk është e mundur apo e arsyeshme, të dhënat do të mbrohen nga përdorimi i paautorizuar me bllokim. Do të zbatohen afatet ligjore të ruajtjes.   

(4) Subjektet e të dhënave mund t’i kërkojnë Shoqerisë të korrigjojë të dhënat personale që ajo mban për ta, në çdo kohë, nëse këto të dhëna janë të paplota dhe / ose të pasakta.

(5) Subjekti i të dhënave duhet të informohet lidhur me modelet e biznesit, për të cilat tërheqja apo fshirja e të dhënave çon në mospërmbushje të detyrimeve kontraktuale.

5.3 E drejta për Sqarim, Komente dhe Korrigjim

(1) Nëse subjekti i të dhënave pretendon se të drejtat e tij/saj janë shkelur si pasojë e përdorimit në mënyrë të jashtëligjshme të të dhënave të tij / saj, veçanërisht duke paraqitur prova të verifikueshme për shkelje të këtyre Rregullave të Detyrueshme të Kompanisë për Privatësinë, kompanitë përgjegjëse duhet t’i sqarojnë faktet pa vonesa të qëllimshme. Për të dhënat e transferuara apo transmetuara në veçanti jashtë BE-së, Shoqeria duhet të sqarojë faktet dhe të paraqesë prova që pala marrëse nuk i ka shkelur kërkesat e këtyre Rregullave Detyruese të Kompanisë për Privatësinë apo që është përgjegjëse për ndonjë dëm të shkaktuar. Kompanitë duhet të punojnë së bashku për të sqaruar faktet dhe duhet t’i japin akses njëra-tjetrës për të gjitha informacionet që u nevojiten për këtë qëllim.

(2) Subjekti i interesuar i të dhënave mund të ngrejë një ankesë kundrejt Shoqerisë ONE, në çdo kohë, nëse ai/ajo dyshon se Shoqeria ONE nuk po i përpunon të dhënat e tij / saj në përputhje me kërkesat ligjore apo me dispozitat e kësaj Politike e Kompanisë për Rregullat e Detyrueshme të Privatësisë. Ankesa e provuar do të shqyrtohet brenda një periudhe të përshtatshme kohore dhe subjekti i të dhënave do të njoftohet në sipas rastit.  

(3) Nëse nje ankesë ka të bëjë me disa kompani, Përgjegjësi i Privatësisë së të Dhënave i cili njeh mirë çështjen do të koordinojë të gjithë korrespodencën përkatëse me subjektin e të dhënave.

(4) Do të këtë kanale të përshtatshme për raportimin e incidenteve të privacisë së të dhënave (siç është adresa e emailit e venë në dispozicion nga Privatësia e të Dhënave, Departamenti i Çështjeve Ligjore dhe Pajtueshmërisë apo kontaktin direkt që mund të bëhet online).

(5) Përgjegjësi i Privatësisë së të Dhënave të kompanisë do të informojë për incidentin e privatësisë së të dhënave pa asnjë vonesë duke përdorur proçeset përkatëse raportuese.

(6) Subjekti i të dhënave mund të bëjë ankesë në përputhje me këtë Politikë të Kompansë për Rregullat të Detyrueshme të Privatësisë nëse të drejtat e tyre janë shkelur apo nëse ato kanë pësuar ndonjë humbje.  

5.4 E Drejta për Pyetje dhe Ankesë

Çdo subjekt i të dhënave ka të drejtë që në çdo kohë të kontaktojë Përgjegjësin e Privatësisë së të Dhënave të kompanisë që përdor të dhënat personale të tij / saj, me pyetje dhe ankesa në lidhje me zbatimin e këtyre Rregullave të Detyrueshme të Kompanisë për Privatësinë. Kompania që njeh më mirë çështjen apo kompania që ka mbledhur të dhënat e subjektit duhet të sigurohet që të drejtat e subjektit të të dhënave janë respektuar siç duhet nga kompanitë e tjera përgjegjëse.

5.5 Ushtrimi i të Drejtave të Subjektit të të Dhënave   

Subjektet e  të dhënave nuk duhet të gjenden në situatë të pafavorshme për arsye se ata i kanë ushtruar këto të drejta. Forma e komunikimit me subjektin e të dhënave - me telefon, në mënyrë elektronike apo me shkrim - duhet të respektojë kërkesën e subjektit të të dhënave, kur është konsiderohet e përshtatshme.

5.6 Versioni i printuar i Rregullave të Detyrueshme të Kompanisë për Privatësinë

Një version i printuar i kësaj Politike të Kompanisë për Rregullat e Detyrueshme të Privatësisë mund t’i vihet në dispozicion kujtdo por vetëm nëse bën një kërkesë paraprakisht.

6. ORGANIZIMI I PRIVATESISË SË TË DHËNAVE

6.1 Përgjegjësia për Përpunimin e të Dhënave

Shoqerite / Shoqeria duhet të jenë të detyruara të sigurojnë pajtueshmërinë me dispozitat ligjore të mbrojtjes së të dhënave dhe me këto Rregulla të Detyrueshme të Kompanisë për Privatësinë (Politika e Privatesise ose Kodi i Privatesise).

6.2 Përgjegjësi për Privatësinë e të Dhënave

(1) Shoqeria duhet të caktojë një Përgjegjës për Privatësinë e të Dhënave, puna e të cilit është të sigurojë se njësitë organizative individuale të kompanisë janë këshilluar për kërkesat e brendshme dhe ligjore të kompanisë dhe në veçanti për Rregulla të Detyrueshme të Kompanisë për Privatësinë. Përgjegjësi për Privatësinë e të Dhënave duhet të përdorë masa të përshtatshme, në veçanti inspektime të rastësishme, për të monitoruar pajtueshmërinë me rregulloret e mbrojtjes së të dhënave.  

(2) Shoqeria duhet të sigurohet se Përgjegjësi për Privatësinë e të Dhënave zotëron ekspertizën e duhur për vlerësimin e aspekteve ligjore, teknike dhe organizative të masave të privatësisë së të dhënave.

(3) Kompania duhet t’i ofrojë Përgjegjësit për Privatësinë e të Dhënave burimet e nevojshme në financa dhe personel për realizimin e detyrave të tij / saj. 

(4) Përgjegjësit për Privatësinë e të Dhënave duhet t’i jepet e drejta të raportojë direkt tek Manaxhimi i kompanisë dhe duhet të lidhet nga ana organizative me manaxhimin e kompanisë.

(5) Përgjegjësi për Privatësinë e të Dhënave i Shoqerisë do të jetë përgjegjës për implementimin e kërkesave të strategjisë së ONE për privatësinë e të dhënave.

(6) Të gjitha departamentet e kompanisë do të jenë të detyruar të informojnë Përgjegjësin për Privatësinë e të Dhënave të kompanisë së tyre për çdo zhvillim në infrastrukturën IT, infrastrukturën e rrjetit, modelet e biznesit, produktet, përpunimin e të dhënave të stafit dhe planet strategjike përkatëse. Përgjegjësi për Privatësinë e të Dhënave duhet të njihet me zhvillimet e reja në një fazë të hershme në mënyrë që të sigurohet se çdo çështje që përfshin privatësinë e të dhënave mund të merret parasysh dhe vlerësohet.

6.3 Angazhimi dhe Trajnimi i Punonjësve

(1) Kompania duhet të detyrojë punonjësit e saj të mirëmbajnë të dhënat dhe privatësinë e telekomunikacionit në momentin e punësimit të tyre. Punonjësit do të trajnohen mjaftueshëm për çështjet e privatësisë së të dhënave si pjesë e këtij angazhimi. Kompania do të iniciojë proçese të përshtatshme dhe do të ofrojë burimet e nevojshme për këtë qëllim.

(2) Punonjësit duhet të trajnohen rregullisht lidhur me njohuritë bazë të privatësisë së të dhënave, ose të paktën çdo dy vjet. Kompania ka të drejtë të zhvillojë dhe drejtojë kurse trajnimi të dedikuara për punonjësit e saj. Përgjegjësi për Privatësinë e të Dhënave të çdo kompanie duhet të dokumentojë kryerjen e këtyre kurseve trajnimi dhe të informojë për to çdo vit. 

(3) Përgjegjësi për Privatësinë e të Dhënave të ONE mund të vërë në dispozicion burimet dhe proçeset në nivel qëndror për të trajnuar dhe vënë nën detyrim punonjësit e ONE.

6.4 Bashkëpunimi me Autoritetet Mbikqyrëse

(1) Kompania do të bjerë dakort të punojë, mbi baza besimi, së bashku me autoritetin mbikqyrës që është përgjegjës për të ose kompaninë që transmeton të dhënat, në veçanti për t’ju përgjigjur pyetjeve dhe për të ndjekur rekomandimet. 

(2) Në rast të një ndryshimi në legjislacionin e zbatuar në kompani, që mund të ketë efekte negative në garancitë e ofruara nga Politika e Kompanisë për Rregullat e Detyrueshme të Privatësisë, kompania do të njoftojë autoritetin mbikqyrës përkatës për ndryshimin.          

6.5 Kontaktet Përgjegjës për Pyetjet

Përgjegjësi për Privatësinë e të Dhënave të ONE mund të kontaktohet:

E-Mail: dataprivacy@one.al  

Gjatë orarit zyrtar normal (Ora e Europës Qëndrore).

7. PËRGJEGJSHMËRIA

7.1 Fusha e Zbatimit të Rregullave mbi Përgjegjshmërinë

(1) Rregullat e Detyrueshme të Kompanisë për Privatësinë do të zbatohen ekskluzivisht për përpunimin e të dhënave personale të mbledhura në bazë të ligjit Shqiptar no. 9887, datë 10.03.2008 për Mbrojtjen e të Dhënavë Personale dhe të BE/ZEE,  i cili është brenda fushës së Direktivës së BE për Mbrojtjen e të Dhënave 95/46/EC.

(2) Në BE/ZEE, do të zbatohen dispozitat e përgjegjshmërisë ligjore të shtetit ku kompania ka selinë. Për të dhënat që nuk përfshihen në seksionin (1), paragrafi 8.1 të Rregullave të Detyrueshme të Kompanisë për Privatësinë (BCRP) dispozitat e përgjegjshmërisë ligjore të shtetit ku kompania përkatëse, që ka mbledhur të dhënat, ka rregjistruar zyrën e saj, ose nëse nuk ka dispozita ligjore ekzistuese, do të zbatohen termat dhe kushtet e kompanisë që ka mbledhur të dhënat.

7.2 Kërkesa për Dëmshpërblim

(1) Çdo person që ka pësuar humbje si pasojë e një apo më shumë detyrave të përcaktuara në Rregullat e Detyrueshme të Kompanisë për Privatësinë të cilat janë shkelur nga një kompani apo nga marrësit e të dhënave, të cilëve kompania ONE u ka trasferuar apo trasmetuar të dhëna, ka të drejtë të kërkojë dëmshpërblimin përkatës nga kompania ONE pasi të ketë ezauruar të gjitha hapet e nevojshëm ligjore dhe administrative sipas legjislacionit shqiptar në fuqi.

(2) Subjekti i të dhënave ka të drejtë të kërkojë dëmshpërblimin nga kompania ONE. Nëse kompania vendos te paguaje dëmshpërblimin, ajo ka të drejtë të kërkojë rimbursim nga kompanitë që janë përgjegjëse për humbjen apo që kanë kontraktuar palën e tretë që e shkaktoi atë.  

(3) Subjekti i të dhënave ka të drejtë të kërkojë dëmshpërblimin në fillim nga kompania që ka transferuar apo transmetuar të dhënat. Nëse kompania transferuese nuk është përgjegjëse de jure apo de facto, subjekti i të dhënave ka të drejtë të kërkojë dëmshpërblim nga kompania marrëse. Kompania marrëse nuk ka të drejtë të tërhiqet nga detyrimi duke e kërkuar përgjegjësinë tek kontraktori në rast shkeljeje.  

(4) Subjekti i të dhënave ka të drejtë të depozitojë një ankesë, në çdo kohë, pranë autoritetit mbikqyrës përgjegjës apo pranë autoritetit mbikqyrës përgjegjës për kompaninë.

7.3 Përfitimet e Palës së Tretë për Subjektin e të Dhënave

Nëse subjekti i të dhënave nuk ka të drejta të drejtpërdrejta, ai / ajo ka të drejtë, si një palë e tretë përfituese, të ngrejë pretendime kundër kompanive të cilat kanë shkelur detyrimet e tyre kontraktuale, bazuar në dispozitat e Rregullave të Detyrueshme të Kompanisë për Privatësinë.  

7.4 Vendi i Juridiksionit

Sipas zgjedhjes individuale, vendi i juridiksionit për të ngritur pretendime për detyrimet duhet të jetë:

a) Gjykatat Shqiptare

8. DISPOZITAT PËRFUNDIMTARE

8.1 Rishikimi dhe Ndryshimi i këtyre Rregullave të Detyrueshme të Kompanisë për Privatësinë 

(1) Përgjegjësi i Privatësisë së të Dhënave do të shqyrtojë Rregullat e Detyrueshme të Kompanisë për Privatësinë në interval të rregullt kohor, por jo më pak se një herë në vit, për të konstatuar pajtueshmërinë me legjislacionin në fuqi dhe për të kryer përshtatjet e nevojshme.    

(2) Çdo ndryshim i rëndësishëm në këto Rregulla të Detyrueshme të Kompanisë për Privatësinë që bëhet p.sh. i domosdoshëm si rezultat i përshtatjeve të kryera për t’i sjellë ato në pajtim me kërkesat ligjore, duhet dakortësohet me autoritetin mbikqyrës. Këto ndryshime do të zbatohen direkt për të gjitha kompanitë që kanë nënshkruar Rregullat e Detyrueshme të Kompanisë për Privatësinë, të ndjekur nga një periudhë tranzicioni e përshtatshme.

(3) Përgjegjësi i Privatësisë të të Dhënave do të informojë lidhur me përmbajtjen e ndryshuar të gjitha kompanitë, të cilave u janë bërë të ditura Rregullat e Detyrueshme të Kompanisë për Privatësinë.

(4) Përgjegjësit e Privatësisë së të Dhënave të kompanisë janë të detyruar të shqyrtojnë nëse ndryshimet e këtyre Rregullave të Detyrueshme të Kompanisë për Privatësinë kanë ndonjë implikim për pajtueshmërinë ligjore në vendin e tyre apo nëse ato janë në konflikt me dispozitat ligjore të vendit përkatës. Nëse kompania nuk është në gjendje të implementojë ndryshimet për arsye ligjore detyruese, ajo duhet të informojë menjëherë Përgjegjësin e Privatësisë të të Dhënave dhe autoritetin mbikqyrës dhe, nëse konsiderohet e nevojshme, këto Rregulla të Detyrueshme të Kompanisë për Privatësinë do të pezullohen përkohësisht për këtë kompani.

8.2 Ligji Proçedurial / Pandashmëria

Në rast mosmarrëveshje, këto Rregulla të Detyrueshme të Kompanisë për Privatësinë do t’i nënshtrohen ligjit proçedurial të Republikës së Shqipërisë dhe  ne vencanti Ligjit 9887/2008 per Mbrojtjen e te dhenave Personale. Nëse ndonjë dispozitë e veçuar e këtyre Rregullave të Detyrueshme të Kompanisë për Privatësinë konstatohet se është apo bëhet e pavlefshme, ajo do të konsiderohet si e zëvendësuar nga dispozitat që i përafrohen më shumë qëllimeve bazë të këtyre Rregullave të Detyrueshme të Kompanisë për Privatësinë dhe dispozitave të pavlefshme. Në rast mungese të dispozitave përkatëse, në këto raste do të aplikohen rregulloret në fuqi për mbrojtjen e të dhënave në BE. 

8.3 Publikimi

Kompania duhet të bëjë publik informacionin për të drejtat e subjekteve të të dhënave dhe klauzolën për përfitimin e palëve të treta në format të përshtatshëm, siç janë shënimet për mbrojtjen e të dhënave në internet. Ky informacion duhet të publikohet sapo këto Rregulla të Detyrueshme të Kompanisë për Privatësinë të bëhen të detyrueshme për një kompani.