Në janar 2026, Komisioneri për Mbrojtjen e të Dhënave gjobiti tre kompani në një ditë të vetme. Askush nuk mund të thotë më "nuk e zbatonë njeri". Ja çfarë duhet të dini — dhe çfarë duhet të bëni.
Ligji Nr. 124/2024 "Për mbrojtjen e të dhënave personale" hyri në fuqi duke zëvendësuar ligjin e vjetër. Shumica e bizneseve shqiptare e panë si formalitet. Komisioneri tregoi në janar 2026 se nuk është.
Më 30 janar 2026, Komisioneri nxori tre vendime gjobash — ndaj Engineering Albania, Instant AL dhe Sisal Albania. Tre kompani teknologjie, tre gjoba, një mesazh: koha e "do ta bëjmë" ka mbaruar.
Nuk po flas për ligj në abstrakt. Po flas për gjoba konkrete që bien mbi shoqëri tregtare reale në Tiranë. Nëse keni një biznes që mban të dhëna klientësh, punonjësish, ose furnitorësh — ky artikull është për ju.
Katër gjëra që Komisioneri kontrollon para gjithçkaje
Nga vendimet e janarit 2026, dallohen qartë prioritetet e inspektimit:
1. Politikat e privatësisë në faqen e internetit
Komisioneri e ka thënë qartë: politika e përgjithshme e një grupi ndërkombëtar nuk mjafton. Duhet një politikë e dedikuar, në gjuhë shqipe, me identitetin e kontrolluesit lokal, bazat ligjore specifike dhe periudhat reale të ruajtjes. Engineering Albania u gjobiti pikërisht për këtë.
2. Rregullorja e brendshme (nuk mjafton drafti)
Instant AL paraqiti dokumente në fazë hartimi. Përgjigja e Komisionerit: draftet nuk prodhojnë efekt juridik. Dokumenti duhet të jetë i miratuar, i nënshkruar, dhe i komunikuar punonjësve.
3. SMSI (Sistemi i Menaxhimit të Sigurisë)
Për shoqëritë e mëdha, Komisioneri kërkon SMSI të bazuar në ISO 27001. Nuk mjafton të thuash "kemi firewall". Duhen politika të shkruara, procedura incidenti, kontrolle aksesi të dokumentuara.
4. Trajnimi i stafit — me Ligjin shqiptar
Trajnimi i bazuar vetëm në GDPR nuk mjafton. Duhet trajnim specifik mbi Ligjin 124/2024. Komisioneri verifikon listat e pjesëmarrësve dhe procesverbalet.
Sa janë gjobat?
Ligji parashikon dy nivele sanksionesh:
Neni 94, pika 1: Deri në 1 miliard lekë ose 2% e xhiros vjetore globale — për shkelje të detyrimeve organizative (RoPA, SMSI, njoftimet).
Neni 94, pika 2: Deri në 2 miliardë lekë ose 4% e xhiros vjetore globale — për shkelje të parimeve themelore (baza ligjore, të drejtat e subjekteve, informimi).
Në vendimet e janarit, Komisioneri llogariti gjobën duke u bazuar në kufijtë minimalë dhe duke marrë parasysh bashkëpunimin e subjekteve. Me fjalë të tjera: nëse bashkëpunon, gjoba ulet. Nëse nuk bashkëpunon, rritet.
Çfarë duhet të bëni tani
Nëse nuk keni bërë asgjë deri tani, filloni me këto — me prioritet:
- Publikoni politikën e privatësisë në faqen tuaj, në shqip, me të gjithë elementët e nenit 13.
- Hartoni dhe miratoni rregulloren e brendshme — jo draft, dokument i nënshkruar nga administratori.
- Plotësoni RoPA-n — regjistri i aktiviteteve të përpunimit. Pa të, nuk provoni se dini çfarë të dhënash keni.
- Kryeni trajnim për stafin, me procesveral dhe listë pjesëmarrësish. Komisioneri i kërkon.
- Vlerësoni nëse ju duhet DPO — nëse përpunoni të dhëna në shkallë të gjerë ose monitoroni sistematikisht, përgjigja ka gjasa të jetë po.
Kjo nuk është punë e një dite. Por sa më gjatë shtyni, aq më i lartë rreziku — sepse Komisioneri ka filluar inspektimet, dhe nuk ka ndërmend të ndalet.
Doni të dini ku qëndroni me Ligjin 124/2024? OnLaw Office kryen vlerësime të përputhshmërisë dhe ofron DPO të jashtëm për biznese.