RREGULLORE
PËR
” MBROJTJEN, PËRPUNIMIN,
RUAJTJEN DHE SIGURINË E TË
DHËNAVE PERSONALE”
TË
SPITALI RAJONAL DURRËS
RREGULLORE
PËR
“ MBROJTJEN, PËRPUNIMIN, RUAJTJEN DHE SIGURINË E TË DHËNAVE PERSONALE”
KREU I
DISPOZITA TË PËRGJITHSHME
Neni 1
Objekti
Objekti i kësaj Rregullore është përcaktimi i procedurave organizative e teknike, masave për mbrojtjen e të dhënave personale dhe sigurisë, ruajtjes dhe administrimit të të dhënave personale nga strukturat e Spitalit Rajonal Durres (SRD).
Neni 2
Baza ligjore
1. Aktet kombetare :
- Kushtetuta e Republikes se Shqiperise, nenet 15-58 te saj.
- Ligji Nr. 9887, date 10.03.2008, “Per Mbrojtjen e te Dhenave Personale”, i ndryshuar.
- Urdhrat, Udhezimet dhe Vendimet e Komisionerit per Mbrojtjen e te Dhenave Personale.
- Aktet ligjore dhe nenligjore organike per organizimin dhe funksionimin e Ministrise se Shendetesise dhe Mbrojtjes Sociale.
- Ligji Nr. 119/2014 “Per te Drejten e Informimit”.
2. Aktet nderkombetare
- Deklarata Universale e te drejtave dhe lirive te njeriut;
- Konventa per Mbrojtjen e te Drejtave te Njeriut dhe Lirive Themelore, amenduar nga Protokolli nr. 11, hyre ne fuqi me 1 Nentor 1998;
- Direktivat 2002/58/EC dhe 95/46/EC te Keshillit Evropian dhe Parlamentit Evropian;
- Konventa 108 e Keshillit te Evropes “Per mbrojtjen e individeve nga Perpunimi Automatik i te Dhenave Personale”, ratifikuar me ligjin nr. 9288, date 7.10.2004;
- Protokolli shtese i konventes se Keshillit te Evropes “Per mbrojtjen e individeve nga Perpunimi Automatik i te Dhenave Personale, lidhur me autoritetet mbikqyrese dhe levizjen nderkufitare te te dhenave personale”, ratifikuar me ligjin nr. 9287, date 7.10.2004.
Neni 3
Qëllimi
Kjo Rregullore ka per qellim te percaktoje parimet e pergjithshme dhe masat organizative dhe teknike per mbrojtjen, ruajtjen, sigurine dhe administrimin e te dhenave personale. Ajo zbatohet per te gjitha te dhenat e perpunuara nga Spitali Rajonal Durres ne perputhje me “Ligjin per mbrojtjen e te dhenave personale.
Perpunimi i te dhenave duhet to behet ne perputhje me Kushtetuten, Ligjin per Mbrojtjen e te Dhenave Personale, si dhe me Misionin e Spitali Rajonal Durres, qe eshte hartimi dhe zbatimi i politikave e strategjive te zhvillimit ne sektorin e kujdesit shendetesor, per rregullimin e sherbimeve te kujdesit shendetesor dhe per bashkerendimin e punes ndermjet te gjithe aktoreve, brenda dhe jashte sistemit te kujdesit shendetesor, te cilet kontribuojne dhe synojne te garantojne te drejten kushtetuese, te percaktuar ne nenin 55 te Kushtetutes se Republikes se Shqiperise si dhe garantimi i te drejtave kushtetuese, gjithmone duke respektuar te drejtat dhe lirite e njeriut.
Neni 4
Përkufizime
- Për qëllim të kësaj Rregullore, termat e mëposhtëm kanë këtë kuptim:
- “Te dhena personale” eshte cdo informacion ne lidhje me nje person fizik, te identifikuar ose te identifikueshem, direkt ose indirekt, ne vecanti duke iu referuar nje numri identifikimi ose nje a me shume faktoreve te vecante per identitetin e tij fizik, fiziologjik, mendor, ekonomik, kulturor apo social.
- “Te dhena sensitive” eshte cdo informacion per personin fizik, qe ka te beje me origjinen e tij, racore ose etnike, mendimet politike, anetaresimin ne sindikata, besimin, fetar apo filozofik, denimin penal, si dhe te dhena per shendetin dhe jeten seksuale.
- “Kontrollues”Per efekt te kesaj rregulloreje, eshte Spitali Rajonal Durres e cila, vetem apo se bashku me te tjere, percakton qellimet dhe menyrat e perpunimit te te dhenave personale, ne perputhje me ligjet dhe aktet nenligjore te fushes, dhe pergjigjet per permbushjen e detyrimeve te percaktuara ne kete ligj.
- “Subjekti i te dhenave personale”eshte cdo person fizik, te cilit i perpunohen te dhenat personale.
- “Perpunues”Per efekt te kesaj rregulloreje eshte cdo person fizik ose juridik, autoritet publik, agjenci ose cdo njesi tjeter, pervec strukturave te Spitalit Rajonal Durres, qe perpunon te dhena personale ne emer te vete kontrolluesit.
- “Marres”eshte cdo person fizik ose juridik, autoritet publik, agjenci apo ndonje organ tjeter te cilit i jepen te dhenat e nje pale te trete ose jo.
- “Perpunim i te dhenave personale”eshte cdo veprim ose grup veprimesh, te cilat jane layer mbi te dhenat personale, me mjete automatike ose jo, te tilla si mbledhja, regjistrimi, organizimi, ruajtja, pershtatja ose ndryshimi, rikthimi, konsultimi, shfrytezimi, transmetimi, shperndarja ose ndryshe duke vend ne dispozicion, shtrirja ose kombinimi, fotografimi, pasqyrimi, hedhja, plotesimi, seleksionimi, bllokimi, asgjesimi ose shkaterrimi, edhe ne qofte se nuk jane te regjistruara ne nje banke te dhenash.
- Termat e tjerë të përdorur në zbatim të kësaj Rregullore do të kenë të njëjtin kuptim si më ligjin nr. 9887, datë 10.03.2008 “Për mbrojtjen e të dhënave personale”, i ndryshuar.
Neni 5
Fusha e zbatimit
Kjo Rregullore zbatohet për përpunimin e të dhënave personale plotësisht ose pjesërisht, nëpërmjet mjeteve automatike, dhe me mjete të tjera që mbahen në një sistem arkivimi apo kanë për qëllim të formojnë pjesë të sistemit të arkivimit pranë Spitalit Rajonal Durres.
KREU II
PËRPUNIMI I TË DHËNAVE PERSONALE
Neni 6
Mbrojtja e të dhënave personale
Çdo punonjës i strukturave të Spitalit Rajonal Durres, që merret me përpunimin e të dhënave personale të subjekteve, detyrohet të zbatojë kërkesat e neneve 2 dhe 5 të ligjit “Për mbrojtjen e të dhënave personale”, i ndryshuar, si më poshtë :
- Respektimin e parimit për përpunimin e ligjshëm të të dhënave personale, duke
respektuar dhe garantuar të drejtat dhe liritë themelore të njeriut dhe, në veçanti, të drejtën e ruajtjes së jetës private;
- Kryerjen e përpunimit në mënyrë të drejtë dhe të ligjshme;
- Grumbullimin e të dhënave personale për qëllime specifike, të përcaktuara qartë, e
legjitime dhe kryerjen e përpunimit të tyre në përputhje me këto qëllime;
- Të dhënat që do të përpunohen duhet të jenë të mjaftueshme, të lidhen me qëllimin e
përpunimit dhe të mos e tejkalojnë këtë qëllim;
- Të dhënat duhet të jenë të sakta nga ana faktike dhe, kur është e nevojshme, të bëhet
përditësimi e kryerja e çdo veprimi për të siguruar që të dhënat e pasakta e të parregullta të fshihen apo të ndryshohen;
- Të dhënat duhet të mbahen në atë formë, që të lejojnë identifikimin e subjekteve të të
dhënave për një kohë, por jo më tepër sesa është e nevojshme për qëllimin, për të cilin ato janë grumbulluar ose përpunuar më tej.
Neni 7
Qëllimi i përpunimit
Çdo punonjës i Spitalit Rajonal Durres mund t’i përdorë të dhënat personale vetëm për kryerjen e detyrave të parashikuara nga ligji dhe në përputhje me aktet ligjore e nënligjore që rregullojnë mënyrën e përpunimit të të dhënave personale.
Neni 8
Kriteret e përpunimit të të dhënave personale
1. Punonjësit e çdo strukture të Spitalit Rajonal Durres që përpunojnë të dhëna personale të subjekteve, bazohen në kriteret e përcaktuara në nenin 6 të ligjit “Për mbrojtjen e të dhënave personale”.
2. Të dhënat personale përpunohen vetëm:
- për të mbrojtur interesat jetikë të subjektit të të dhënave;
- për përmbushjen e një detyrimi ligjor të kontrolluesit;
- për kryerjen e një detyre ligjore me interes publik ose ushtrimin e një kompetence të
kontrolluesit ose të një pale të tretë, së cilës i janë përhapur të dhënat;
- për ndjekjen e interesave legjitimë të kontrolluesit ose të një pale të tretë, së cilës i janë
përhapur të dhënat, përveç kur këta interesa mbizotërojnë mbi interesat për mbrojtjen e të drejtave dhe të lirive themelore të subjektit të të dhënave.
Neni 9
Përpunimi i të dhënave sensitive
- Perpunimi i te dhenave sensitive, kryhet ne perputhje me kriteret e percaktuara ne nenin 7 te ligjit “Per mbrojtjen e te dhenave personale”, i ndryshuar.
- Cdo punonjes i strukturave te Spitalit Rajonal Durres, qe ne veprimtarine e tij referuar rregullores se brendshme dhe akteve ligjore per organizimin e brendshem, perpunon te dhena sensitive te cilat sigurohen gjate dhe per shkak te ushtrimit te veprimtarise duhet te nenshkruajne Deklaraten e Konfidencialitetit sipas Modelit bashkelidhur rregullores.
- Cdo punonjes i SRD, edhe ne ato raste kur per shkak te ushtrimit te detyres del e nevojshme te kerkojne akses per informacion prej institucioneve te ofrimit te sherbimit shendetesor dhe atij shoqeror, ka detyrimin e ruajtjes se konfidencialitetit te informacionit te ofruar.
Neni 10
Transferimi ndërkombëtar i të dhënave
1. Ne rast te kryerjes se transferimit nderkombetar te te dhenave personale cdo punonjes i SRD zbaton parashikimet e nenit 8 dhe 9 te ligjit “Per mbrojtjen e te dhenave personale”, i ndryshuar dhe aktet nenligjore te dala ne zbatim te tij si Udhezimi nr.41, dt.13.6.2014 “Per lejimin e disa kategorive te transferimeve nderkombetare te te dhenave personale ne nje shtet qe nuk ka nivel te mjaftueshem te mbrojtjes se te dhenave personale”, Udhezuesi mbi transferimin nderkombetar te te dhenave personale si dhe Vendimin e KMDHP nr.3, dt.20.11.2012 “Per percaktimin e shteteve, me nivel te mjaftueshem te mbrojtjes se te dhenave personale”.
2. Te dhenat dhe informacionet, mund t’u komunikohen institucioneve homologe te shteteve te tjera ne baze to marreveshjes se bashkepunimit, me kusht qe ne shtetin kerkues keto te dhena dhe informacione te trajtohen dhe te ruhen, ne perputhje me legjislacionin per mbrojtjen e te dhenave.
3. Te dhenat dhe informacionet e permendura ne piken 3, trajtohen vetem nga autoritetet perkatese te shtetit manes.
4. Transferimi i te dhenave te cilat jane “shume sekrete” nuk realizohet nepermjet linjave te komunikimit elektronik.
KREU III
TË DREJTAT E SUBJEKTIT TË TË DHËNAVE
Neni 11
Zbatimi i të drejtave të subjekteve të të dhënave personale
1.Përhapja ose komunikimi i të dhënave personale kryhet në përputhje me qëllimin për të cilin janë grumbulluar këto të dhëna.
2.Çdo person ka të drejtë që të njihet me të dhënat personale të përpunuara nëpërmjet një kërkese me shkrim.
3. Çdo institucion që përpunon të dhëna personale është i detyruar që në bazë të ligjit nr. 9887, datë 10.03.2008 “Për mbrojtjen e të dhënave personale”, i ndryshuar si dhe të zbatojë këto të drejta të subjekteve të të dhënave personale:
a. të drejtën për akses;
b. të drejtën për të kërkuar korrigjimin ose fshirjen;
c. vendimmarrjen automatike;
d. të drejtën për të kundërshtuar;
e. të drejtën për tu ankuar;
ë. të drejtën për kompensimin e demit.
4. Kërkesa duhet të përmbajë të dhëna të mjaftueshme për të vërtetuar identitetin e
kërkuesit. Kontrolluesi, brenda 30 ditëve nga data e marrjes së kërkesës, informon subjektin e të dhënave ose i shpjegon atij arsyet e mosdhënies së informacionit.
Neni 12
Kërkesa për informacion
Kërkesën për informacion mund ta bëjë:
- Vetë personi ;
- Përfaqësuesi ligjor i pajisur me autorizimin përkatës;
- persona të tjerë të cilët megjithëse nuk kanë interes të drejtpërdrejtë, provojnë se kanë
një interes të ligjshëm për të marrë dijeni në lidhje me këto të dhëna dhe që përputhet me qëllimin e grumbullimit të këtyre të dhënave;
- Prindi ose kujdestari kur :
- Fëmija nuk ka zotësi të plotë për të vepruar
- Prindi është duke vepruar në interes të fëmijës.
Përgjigja në çdo rast dërgohet në adresën e kërkuar nga vetë kërkuesi.
KREU IV
SIGURIA E TË DHËNAVE PERSONALE
Neni 13
Masat për sigurinë e të dhënave
Spitalit Rajonal Durres dhe organet e saj të varësisë marrin masa organizative dhe teknike të përshtatshme për të mbrojtur të dhënat personale nga shkatërrime të paligjshme, aksidentale, humbje aksidentale, për të mbrojtur aksesin ose përhapjen nga persona të paautorizuar, veçanërisht kur përpunimi i të dhënave bëhet në rrjet, si dhe nga çdo formë tjetër e paligjshme përpunimi.
Ata marrin këto masa të veçanta sigurie:
- Përcaktojnë funksionet ndërmjet njësive organizative dhe operatorëve për përdorimin e të
dhënave;
- Përdorimi i të dhënave bëhet me urdhër të njësive organizative ose të operatorëve të
autorizuar;
- Udhëzojnë operatorët, pa përjashtim, për detyrimet që kanë, në përputhje me ligjin për
mbrojtjen e të dhënave personale dhe rregulloret e brendshme për mbrojtjen e të dhënave, përfshirë edhe rregulloret për sigurinë e të dhënave;
- Ndalojnë hyrjen e personave të paautorizuar në mjediset e kontrolluesit ose përpunuesit të
të dhënave.
- Aksesi në të dhënat dhe programet, bëhet vetëm nga personat e autorizuar, dalojnë hyrjen
në mjetet e arkivimit dhe përdorimin e tyre nga persona të paautorizuar;
- Vënia në punë e pajisjeve të përpunimit të të dhënave bëhet vetëm nga personat e autorizuar dhe çdo mjet sigurohet me masa parandaluese ndaj vënies së autorizuar në punë;
- Regjistrojnë dhe dokumentojnë modifikimet, korrigjimet, fshirjet, transmetimet,
përditësimet, etj.
- Sa herë që punonjësit e Spitalit Rajonal Durres largohen nga vendi i tyre i punës, ata duhet të mbyllin kompjuterat e tyre, dollapët, kasafortat dhe zyrën, në të cilat janë ruajtur të dhënat personale ;
- Nuk duhet të largohen nga mjediset e punës kur ka të dhëna të pambrojtura në tavolinë, dhe ndodhet në prani të personave të cilët nuk janë të punësuar nga ana e SRD;
- Nuk mbajnë në monitor të dhëna personale, kur është i pranishëm një person i pautorizuar
dhe sidomos në vende jo publike;
- Nuk nxjerrin jashtë zyrës, në asnjë rast, kompjutera, laptop, flesh apo pajisje të tjera që
përmbajnë të dhëna personale dhe nuk duhet ti lënë ato në vende të pasigurta, pa u siguruar për
fshirjen apo shkatërrimin e të dhënave;
- Të dhënat të mbrohen duke verifikuar identitetin e përdoruesit dhe duke i lejuar akses
vetëm individëve të autorizuar.
- Udhëzimet për përdorimin e kompjuterit, duhet të ruhen në mënyrë të tillë që ato të mos
jenë të aksesueshme nga persona të paautorizuar;
- Kryejnë vazhdimisht procedurën e hyrjes dhe daljes duke përdorur fjalëkalime personale
në fillim dhe në mbarim të aksesit të tyre në të dhënat e mbrojtura, të ruajtura në bazat e të dhënave të Spitalit Rajonal Durres;
- Njohja dhe regjistrimi i operatorëve terminalistë dhe i përdoruesve kryhet me përdorimin e
fjalëkalimeve për hyrjen në bankën e të dhënave. Fjalëkalimet cilësohen sekrete dhe janë vetjake;
- Në dokumente që përmbajnë të dhëna të mbrojtura, duhet të sigurojnë shkatërrimin e
materialeve ndihmëse, (p.sh. provat apo shkresat, matricat, llogaritjet, diagrame dhe skica) të përdorura ose të prodhuara për krijimin e dokumentit;
- Të dhënat e dokumentuara nuk përdoren për qëllime të tjera, që nuk janë në përputhje me
qëllimin e grumbullimit.
- Ndalohet njohja ose çdo përpunim i të dhënave të regjistruara në dosje për një qëllim të
ndryshëm nga e drejta për të hedhur të dhëna. Përjashtohet nga ky rregull rasti kur të dhënat përdoren për parandalimin ose ndjekjen e një vepre penale.
- Ruajnë dokumentacionin e të dhënave për aq kohë sa është i nevojshëm për qëllimin, për
të cilin është grumbulluar.
- Niveli i sigurisë duhet të jetë i përshtatshëm me natyrën e përpunimit të të dhënave
personale.
- Respektojnë aktet e tjera ligjore dhe nënligjore që përcaktojnë se si duhet të përdoren të
dhënat personale.
Neni 14
Mbrojtja e ambjenteve
Ambientet në të cilat do të përpunohen të dhënat personale duhet të mbrohen nga masa organizative, fizike dhe teknike që të parandalojnë aksesin e personave të paautorizuar në mjediset dhe aparaturat me të cilat do të përpunohen të dhënat personale .
Zbatimi i masave të sigurimit duhet të bëhet në përputhje me nivelin e sigurisë së të dhënave dhe informacionit të administruar, si dhe treguesit e nivelit të rrezikut që mund të vijë nga ekspozimi i paautorizuar i informacionit të ruajtur.
Në ambientet ku përpunohen të dhëna personale zbatohen këto masa sigurie:
- Ndalohet hyrja e personave të paautorizuar.
- Personat që futen në këto ambjete duhet të pajisen me autorizimin përkatës ( të
përcaktohet konkretisht emërtesa nga ana juaj)
- Ambientet e hyrjes, survejohen me kamera gjatë 24 orëve.
- Veç masave dhe sistemeve të tjera të mbrojtjes, vendosen pajisje dhe sisteme të
sigurimit elektronik (sisteme sinjalizimi, telekamera, etj).
- Ambientet pajisen me dollap hekuri, të sigurta për mbrojtjen e dosjeve nga dëmtimi i
tyre, me kasaforta e brava automatike me çelësa dhe drynë të veçantë nga ata të përdorimit të zakonshëm dhe vulosen me dyllë ose plastelinë.
- Dyert të jenë të blinduara dhe dritaret të përforcohen me shufra hekuri.
- Sigurohet mbikëqyrje e vazhdueshme, ditën dhe natën me roje fizike
Neni 15
Në ambientet ku përpunohen të dhëna të mbrojtura (personale) lejohet të qëndrojnë:
1. Punonjësit e institucionit te Spitalit Rajonal Durres, vetëm nëse ata janë të punësuar në këtë ambient ose nëse prania e tyre është thelbësore për kryerjen e detyrave të punës.
2. Personeli i mirëmbajtjes së sistemit apo pajisjeve të telekomunikacionit lejohet të futen në këto ambiente i shoqëruar nga personi i caktuar nga titullari vetëm kur kërkohet nga titullari i drejtorisë/njësisë.
Neni 16
Njesia e Teknologjise se Informacionit (Sektori IT)
Institucioni e trajton dhe vlerëson të gjithë informacionin elektronik si çështje të brendshme. Për këtë arsye, institucioni do të ndjekë të gjitha praktikat dhe proçedurat përkatëse për sigurimin, ruajtjen si dhe shkatërrimin e informacionit në përputhje me dispozitat ligjore ne fuqi.
Drejtoria e Teknologjisë së Informacionit duhet të ketë një kopje dhe një dublikatë të të gjitha të dhënave dhe softëare që mbahen ose ruhen në kompjuterin qëndror. Kopja dublikatë duhet të mbahet në një vend të sigurt jashtë godinës në të cilën gjendet kompjuteri qendror. DTI mban një kopje të të dhënave dhe të sistemit të vendosur në kompjuterin dytësor.
Një kopje dublikatë duhet të mbahet në një vend ose ambient të ndryshëm nga godina në të cilën ndodhet DTI. Numri dhe forma e kopjeve shtesë e dokumenteve mjeteve të tjera të komunikimit në të cilat ato ruhen përcaktohen nga departamenti përkatës për çdo dokument.
Neni 17
Te drejtat dhe detyrimet e punonjësve të njësisë së Teknologjisë së Informacionit (TI)
Punonjësi i njësisë së Teknologjisë së Informacionit në ushtrimin e detyrës së tij/saj duhet të:
- Zbatoje legjislacionin në fuqi për mbrojtjen e të dhënave personale, konfidencialitetit të komunikimit, lirine dhe të drejtat e njeriut.
- Sigurojë burimet për përdorimin e pajisjeve elektronike dhe sistemeve elektronike me qëllim që të ndihmojë punonjësit për përmbushjen e detyrave të tyre.
- Sigurojë që konfigurimi i të gjitha pajisjeve të sigurisë është një e dhënë konfidenciale vetëm për personelin teknik. I njëjti rregull vlen edhe kur stafi teknik është i jashtëm.
- Sigurojë që për çdo kompjuter të lidhur në Internet aplikohet firewall dhe kontrollet e sigurisë së aksesit të konfigurohen në mënyrë të tillë që asnjë aplikacion i brendshëm të mos hapë porta alternative komunikimi me Internetin.
- Ndërmarrë këshillime, që mund të përfshijnë trajnime intensive rreth rregullores dhe përdorimit të pajisjeve;
- Vendose opsionet e sistemit dhe kompjutereve lokal në mënyrë që përdoruesit mos të kenë të drejta të plota mbi softwaret e sigurisë dhe antiviruset.
- Bashkëpunojë me organet kompetente për sigurimin e informacionit të nevojshëm për çështje të sigurisë kombëtare dhe në rastet e tjera të parashikuara me ligj.
Gjithashtu, me qëllim sigurimin e mbarëvajtjes së funksionimit të rrjetit të Internetit dhe rritjen e efiçensës së tij, punonjësi i njësisë së teknologjisë së informacionit mund të monitorojë në përputhje me dispozitat ligjore:
volumin e aktivitetit në Internet dhe kapacitetin e sistemit me qëllim sigurimin e funksionimit të tij në mënyrë efiçente;
faqet e aksesuara dhe kohën e shpenzuar për lundrimin e tyre
Neni 18
Te drejtat dhe detyrimet e punonjesve te SRD lidhur me sherbimet TIK
1. Punonjësit e aparatit të SRD kanë të drejtë të përdorin shërbimin e Internetit për:
- Komunikim dhe informim direkt në lidhje me problemet e Institucionit;
- Komunikim dhe bashkëpunim për zhvillimin e tij profesional;
- Kërkime, studime, standarde, këshillime, analiza dhe aktivitete profesionale dhe sociale të lidhura me punën dhe në përputhje me detyrat e punonjësve në administratën publike;
- Çdo aktivitet zyrtar që nuk kërkon një nivel sigurie të lartë të rrjetit (psh aksesi në rrjetat e klasifikuara);
2. Punonjësit janë përgjegjës për ruajtjen e fshehtësisë së fjalëkalimeve personale (username/password) të tyre. Ata duhet të përdorin këto dhe vetëm këto fjalëkalime dhe nuk duhet t’i shpërdorojnë ato. Në mënyrë të ngjashme, logimet e shumëfishta dhe të njëkohshme me të njëjtën UserID janë të ndaluara rreptësisht;
3. Punonjësit duhet që të mbyllin llogarinë e tyre personale në përfundim të punës;
4. Punonjësit janë përgjegjës për raportimin, nëse janë në dijeni, të shkeljeve dhe rreziqeve potenciale rreth sigurisë, si dhe të aktiviteteve joetike, që shkelin udhëzimet ose kodin e praktikës së institucionit.
5. Punonjësit janë përgjegjës për sigurimin e pajisjeve që ata përdorin nga keqpërdorimi, aksesi i paautorizuar ose dëmtimi i qëllimshëm gjatë punës.
6. Punonjësve u ndalohet përdorimi i shërbimit të Internetit për të:
a) Shkarkuar, përdorur dhe/ose shpërndarë:
– Materiale me përmbajtje diskriminuese (racial, kulturor, politik, gjinor apo fizik); – Literature negative rreth drogave;
– Materiale pornografike;
– Materiale që përmbajnë shpifje;
- Favorizuar biznesin privat përfshirë këtu reklamat, lajmërimet, etj, apo për qëllime politike.
- Përdorur ose shpërndarë lojëra elektronike, përveç rasteve kur ato ndihmojnë në trajnimin ose ilustrimin e aktiviteteve profesionale;
- Dërguar jashtë institucionit, shpërndarë, kopjuar ose modifikuar skedaret (file-s) dhe të dhëna të tjera që janë konfidenciale;
- Shfrytëzuar identitetin e një personi tjetër, gjatë përdorimit të internetit;
- Mbledhur fonde publike dhe/ose për aktivitete që kanë të bëjnë me marrëdhëniet me publikun, jo specifikisht të lidhura me aktivitetin shtetëror të Institucionit;
- Shkëmbyer mesazhe (Instant Messaging) ose bashkëbiseduar (si CHAT) për qëllime personale.
- Transmetimi i dokumenteve ose mesazheve të klasifikuara nëpërmjet Intemetit është i ndaluar, përveç rasteve kur specifikohet nga Drejtoria e Sigurimit të Informacionit të Klasifikuar (DSIK).
- Punonjësit detyrohen të përdorin postën elektronike zyrtare duke zbatuar rregullat e miratuara nga Agjencia Kombëtare e Shoqërise së Informacionit, me “Rregulloren për Përdorimin e Postës Elektronike në Administraten Publike Versioni 2.0.1, 08/2013”.
- Të gjitha informacionet që vendosen, hartohen, dërgohen dhe/ose merren në sistemet elektronike të institucionit nga punonjës ose jo, janë pronë e Institucionit duke respektuar dispozitat e parashikuara në ligjin nr. 9380 date 28.04.2005 “Për të drejtën e autorit”.
- Ndalohet çdo formë diskriminimi bazuar në moshë, racë, gjini, aftësi fizike apo mendore, burimet e të ardhurave, besimi fetar apo përkatësia politike duke përdorur burimet dhe shërbimet e TIK. Përdorimi i rrjetit kompjuterik dhe postës elektronike me qëllim përulje apo diskriminimi për një nga këto arsye është i ndaluar sipas legjislacionit në fuqi.
Neni 19
Mbrojtja e dokumentave
Dokumentat e klasifikuar dhe mjetet e tjera te komunikimit ne te cilat mbahen te dhena personale duhet te shenohen me nje lloj sekretimi dhe nje nivel i caktuar kofidencialiteti. Sekretimi dhe niveli i kofidencialitetit percaktohet ne perputhje me aktet normative ne fuqi.
Neni 20
Dokumente sekrete
- Kur krijohen dokumente qe permbajne te dhena qe kosiderohen “shume sekrete” ose “sekrete”, ne dokumentin origjinal percaktohen te dhena lidhur me numrin e kopjeve qe i jane bere dokumentit ( te shkruar , printuara, vizatuara, duplikuara) dhe kujt i jane dhene. cdo kopje duhet te kete numrin e vet te regjistrimit.
- Neqoftese materiali i permendur ne paragrafin e mesiperm perbehet nga disa faqe ose lidhet me dokumente te tjera ose ka pjese te tjera perberese atehere cdo faqe duhet te sigurohet nga nje nivel i caktuar kofidencialiteti ose te sigurohet qe faqet dhe lidhjet te mos hiqen ose grisen pa nje paralajmerim te meparshem.
- Kur te dhenat konfidenciale prezantohen ne nje ekran ose ne sisteme te tjera mediatike, niveli i fshehtesise ose konfidencialitetit duhet te tregohet ne cdo pjese (ilustrime, piktura, vrojtime, parashikime) te prezantimit (paraqitjes).
Neni 21
Ruajtja e dokumenteve sekrete
1. Dokumentet qe mbajne te dhena qe jane “shume sekrete” ose “sekrete” duhet te kycen ne njesi prej hekuri teknikisht te sigurta, ose te mblidhen ne nje pllake hekuri te kycur dhe sigluar e
siguruar nga nje kod, megjithese ato jane drejtperdrejte te kontrolluara nga nje punonjes qd i nevojiten dokumente perkatese (te caktuara) per punen e tij.
- celesat e ketyre njesive duhet te mbrohen nga nepunesit ne kontakt te ngushte fizik, ne vendet e tyre ose ne zarfe to vulosura nga zyra kryesore. celesa te tjere duhet te mbahen nga zyra kryesore e drejtuesit to njesise organizative perkatese. Ne qofte se nje gelds humbet, kyci duhet to ndryshohet.
- Ne vendet ku mbrohen dokumentet e permendura ne paragrafin e mdsiperm hyjne vetern punonjes qe krijojne, perdorin, mbrojne ose sigurojne keto dokumente.
Neni 22
Asgjesimi i dokumenteve
- Materialet pergatitore te perdorura per krijimin e dokumenteve qe permbajne te dhena “shume sekrete” ose “sekrete” (matrica, llogaritje, diagrama, skica, ceshtje ose printime skarco) duhet te shkatdaohet nga nje komision deshmitaresh ose vezhguesish. Menyra qd perdoret per shkaterrimin e tyre duhet to jete e tille qe to siguroje pa lexueshmerine dhe to pengoje riprodhimin e permbajtjes.
- Komisioni i vezhguesve mban nje raport per shkaterrimin e materialit te permendur ne paragrafin e mdsiperm i cili firmoset nga te gjithe anetaret e komisionit.Komisioni i vezhguesve perbehet nga tre anetare to caktuar nga eprori i njesise perkatese.Procedura qe perdoret per shkaterrimin e dokumenteve qe permbajne te dhena personale percaktohet nga eprori perkates.
- E njejta procedure perdoret edhe per shkaterrimin e te dhenave dhe dokumenteve dhe mjeteve te tjera to komunikimit koha e pdrdorimit te te cilave ka mbaruar.
Neni 23
Dublikata e programeve
Dublikata e programeve me te dhena qd perdoren ne rastin e fatkeqesive natyrore ose ne raste te gjendjes se jashtezakonshme ose gjendje lufte duhet td ruhen ne vende ose lokale qe ndodhen jashte zyres kryesore te njesise organizative perkatdse. Menyra e krijimit, shumefishimit dhe ruajtjes se ketyre dublikatave percaktohet ne menyre te vecante per cdo dokument, ne pdrputhje me rregullat e ruajtjes dhe garantimit te tyre, te vendosura nga njesia organizative perkatese dhe me rregullat e zbatueshme ne rastin e fatkeqesive natyrore.
Neni 24
Detyrimi per te informuar
1.Ne qofte se nje dokument me te dhena konfidenciale humbet ose zhduket, nepunesi kompetent ka per detyre te informoje menjehere eprorin e tij dhe te marre cdo mase qe vleresohet e domosdoshme per te percaktuar rrethanat ne te cilat ka humbur dokumenti si dhe per eliminimin e pasojave te demshme.
- Strukturat e SRD, te cilat gjate ushtrimit to detyrds se tyre perpunojne te dhena personale, detyrohen qe nepermjet eprorit te tyre, te njoftojne Zyren e Komisionierit per te Drejten e Informimit dhe Mbrojten e te Dhenave Personale, lidhur me perpunimin e te dhenave personale per te cilat jane pergjegjes, sipas Nenit 21 te Ligjit Nr. 9887, date 10.03.2008, “Per Mbrojtjen e te Dhenave Personale”, i ndryshuar, duke plotesuar Formularin e Njoftimit te publikuar prej Komisionierit ose duke e terhequr prane Zyres se Komisionierit.
- Informacioni i dhene nga nepunesit ne strukturat e tyre duhet te jete konform Ligjit Nr 119/2014 “Per te drejten e Informimit”.
- Informimi i subjekteve te te dhenave personale mbi menyren e mbledhjes, pdrpunimit, perhapjes, ruajtjes dhe masave te sigurise qe merren prej cdo sektori qe gjate ushtrimit te detyres perpunon te dhena personale, do td publikohet ne faqen zyrtare te SRD te ne rubriken “politikat e privatesise”.
Neni 25
Në qoftë se një dokument me të dhëna konfidenciale humbet ose zhduket, nëpunësi kompetent ka për detyrë të informojë menjëherë eprorin e tij dhe te marrë çdo masë që vlerësohet e domosdoshme për të përcaktuar rrethanat në të cilat ka humbur dokumenti si dhe për eliminimin e pasojave të dëmshme.
KREU V
SANKSIONE ADMINISTRATIVE
Neni 26
Masat administrative
Çdo punonjës i Spitalit Rajonal Durres i cili shkel detyrën për të mbrojtur të dhënat personale është përgjegjës për thyerje të disiplinës, rregullave, dhe detyrimeve në veprimtarinë e punës së tij. Në qoftë se veprimet e tyre nuk përbëjnë vepër penale ndaj tyre merren masa administrative dhe disiplinore sipas akteve normative në fuqi.
Neni 27
Mbikëqyrja e masave dhe procedurave mbrojtëse
Mbikëqyrja e implementimit të rregullave për mbrojtjen e të dhënave personale për respektimin normave të sigurisë, për mbrojtjen e të dhënave të automatizuara kundër prishjes së tyre aksidentale ose të paautorizuar, si dhe kundër hyrjes, ndryshimit dhe përhapjes së paautorizuar të tyre realizohet nga personat përgjegjës për mbikëqyrjen dhe mbrojtjen e të dhënave respektive.
KREU VI
DISPOZITA TË FUNDIT
Neni 29
Konfidencialiteti për përpunimin e të dhënave
Çdo punonjës i Spitalit Rajonal Durres që përpunon të dhëna apo vihet në dijeni me të dhënat e përpunuara nuk mund ti bëjë të njohur përmbajtjen e këtyre të dhënave personave të tjerë. Ai detyrohet të ruajë konfidencialitetin dhe besueshmërinë edhe pas përfundimit të funksionit.
Çdo person që vepron nën autoritetin e kontrolluesit, nuk duhet t’i përpunojë të dhënat personale, tek të cilat ka akses, pa autorizimin e kontrolluesit, përveçse kur detyrohet me ligj.
Neni 30
Detyrimi për bashkëpunim
Spitalit Rajonal Durres dhe strukturat e tij te varësisë janë të ndërgjegjshëm për detyrimin që kanë për të bashkëpunuar me Komisionerit dhe për ti siguruar të gjithë informacionin që ai kërkon për përmbushjen e detyrave, pasi Komisioneri ka akses në sistemin e kompjuterave, në sistemet e arkivimit, që kryejnë përpunimin e të dhënave personale dhe në të gjithë dokumentacionin, që lidhet me përpunimin dhe transferimin e tyre, për ushtrimin e të drejtave dhe të detyrave që i janë ngarkuar me ligj.
Neni 31
Detyrimi për zbatim
Të gjithë aktet ligjore të Komisionerit janë të detyrueshme për zbatim nga Spitalit Rajonal Durres dhe strukturat vartëse të saj.
Çdo punonjës që merret me përpunimin e të dhënave personale është i ndërgjegjshëm se përpunimi i të dhënave personale në kundërshtim me kërkesat e ligjit “Për mbrojtjen e të dhënave personale” përbën kundërvajtje administrative dhe dënohet me gjobë.
Neni 32
Trajnimet dhe Konsultimet
Nenpunesit e cdo sektori te SRD, kane te drejte qe te paraqesin kerkese per trajnime dhe konsultime te vazhdueshme prane Zyres se Komisionerit per te Drejten e Informimit dhe Mbrojtjes se te Dhenave Personale.
Neni 33
Sanksionet
Kjo rregullore është pjesë e rregullores së brendshme dhe mosrespektimi i kërkesave të saj përbën shkelje të disiplinës në punë dhe ndëshkohen sipas lëgjislacionit në fuqi.
DREJTORI