Më 30 janar 2026, Komisioneri për Mbrojtjen e të Dhënave nxori tre vendime sanksionuese ndaj kompanive teknologjike në Shqipëri. Për herë të parë pas Ligjit 124/2024, kemi gjoba reale. Ja çfarë tregojnë ato për të gjithë tregun.
Për vite me radhë, bizneset shqiptare e kanë trajtuar mbrojtjen e të dhënave personale si detyrim formal — diçka që "do ta bëjmë kur të na vijë radha". Më 30 janar 2026, radha erdhi.
Komisioneri nxori Vendimet Nr. 02, 03, dhe 04 — respektivisht ndaj Engineering Albania shpk, Instant AL shpk dhe Sisal Albania shpk. Të treja shoqëri tregtare aktive në sektorin e teknologjisë dhe shërbimeve IT. Të treja u hetuan me të njëjtin fokus: masat tekniko-organizative dhe SMSI-në.
Nuk do ta bëj përmbledhjen teknike të çdo vendimi. Do t'i analizoj pesë mësimet praktike që çdo biznes shqiptar duhet të nxjerrë prej tyre.
Mësimi 1: Politikat e grupit ndërkombëtar nuk ju shpëtojnë
Engineering Albania — pjesë e Engineering Group Italia — argumentoi se politikat e privatësisë së grupit, të publikuara në eng.it, mbulonin edhe filialin shqiptar.
Komisioneri e rrëzoi plotësisht këtë argument. Gjetja: politikat e përgjithshme të një grupi ndërkombëtar nuk përmbushin detyrimin ligjor nëse nuk pasqyrojnë identitetin e kontrolluesit lokal, aktivitetet specifike, bazat ligjore vendase, periudhat reale të ruajtjes, dhe përpunuesit lokalë.
Çfarë do të thotë kjo për ju? Nëse jeni filial i një grupi të huaj dhe mbështeteni në politikat e kompanisë mëmë — keni të njëjtin problem. Ju duhet politikë e dedikuar, në gjuhë shqipe, me referencë Ligjin 124/2024.
Mësimi 2: Drafti nuk është dokument
Disa nga kompanitë e hetuara paraqitën dokumente në fazë hartimi — rregullore të brendshme pa nënshkrim, politika në version "draft", procedura ende pa u finalizuar.
Përgjigja e Komisionerit ishte e prerë: dokumentacioni i paraqitur nuk përmbush kërkesat e ligjit dhe nuk prodhon efekt juridik.
Kjo nuk duhet të jetë befasi. Para një gjykate ose inspektimi, "planifikoja ta bëja" nuk ka vlerë provuese. Ka vlerë vetëm çfarë keni bërë, nënshkruar, dhe zbatuar.
Gabimi i zakonshëm: Shumë kompani i kanë dokumentet "gati 80%". E 80% nuk llogaritet. Ose është 100% — miratuar, nënshkruar, komunikuar stafit — ose nuk ekziston.
Mësimi 3: SMSI nuk është opsionale për kompanitë e mëdha
Të tre vendimet kishin si objekt kryesor masat tekniko-organizative, me fokus SMSI-në (Sistemin e Menaxhimit të Sigurisë së Informacionit). Ky detyrim vjen nga Udhëzimi nr. 47/2018 (tani i zëvendësuar me Udhëzimin nr. 08/2025) dhe kërkon një qasje sistematike ndaj sigurisë, të bazuar në ISO 27001.
Nuk mjafton të kesh antivirus dhe firewall. Komisioneri kërkon: politika të shkruara sigurie, procedura menaxhimi incidentesh, matrica kontrolli aksesi (RBAC), dhe dëshmi zbatimi.
Kush konsiderohet "subjekt i madh"? Kompani me më shumë se 50 punonjës, ose që përpunojnë të dhëna sensitive në shkallë të gjerë, ose që ofrojnë shërbime IT/BPO për klientë të shumtë. Nëse bini në këtë kategori, SMSI nuk është "nice to have" — është detyrim ligjor.
Mësimi 4: Trajnimi duhet me Ligjin shqiptar, jo vetëm GDPR
Njëra nga gjetjet më interesante: Komisioneri vuri në dukje se trajnimi i stafit i bazuar vetëm në GDPR nuk përmbush detyrimin. Ligji 124/2024 ka specifika vendase që nuk mbulohen nga materialet e përgjithshme europiane.
Dhe kjo nuk vlen vetëm për përmbajtjen. Komisioneri kontrollon: a ka listë pjesëmarrësish? A ka procesveral? A ka dëshmi se trajnimi u krye vërtet?
Në praktikë, shumë kompani thonë "i kemi trajnuar punonjësit" por nuk kanë asnjë provë. Para Komisionerit, premtimet nuk kanë vlerë — dokumentet kanë.
Mësimi 5: Bashkëpunimi ul gjobën. Shumë.
Në të tre vendimet, Komisioneri theksoi "shkallën e bashkëpunimit" nga ana e kontrolluesve dhe llogariti gjobën duke u bazuar në kufijtë minimalë.
Kjo do të thotë: kur Komisioneri troket në derë, reagimi juaj ka rëndësi. Nëse bashkëpunoni, paraqisni dokumentacionin, dhe tregoni gatishmëri për ta rregulluar situatën — gjoba mbetet në minimum. Nëse bllokoni, vononi, ose refuzoni — sanksioni rritet sipas metodologjisë së Udhëzimit nr. 06/2025.
Strategjia e zgjuar: Më mirë të investosh tani në përputhshmëri, sesa të paguash gjobë pas inspektimit. Dhe nëse inspektimi vjen — bashkëpuno plotësisht. Kjo nuk është dobësi, është strategji.
Çfarë presim më tej
Këto tre vendime janë vetëm fillimi. Komisioneri ka treguar se ka kapacitet ekzekutiv — urdhrat e hetimit u nxorën në shtator 2025, vendimet erdhën në janar 2026, afati për zbatim është 45 ditë. Kjo linjë kohore tregon se makina administrative funksionon.
Nëse keni biznes në Shqipëri dhe ende nuk jeni përputhur me Ligjin 124/2024, momenti për të vepruar nuk është nesër. Është sot.
Doni vlerësim të shpejtë të përputhshmërisë? OnLaw Office, nëpërmjet ITAKA7, kryen auditime të plota sipas Ligjit 124/2024 dhe përgatit dokumentacionin para inspektimit.