Drejtoria e Përgjithshme e Tatimeve është shpallur “fajtore” kryesore për skandalin e rrjedhjes së pagave dhe të të dhënave personale të 637 mijë qytetarëve shiptare dhe është gjobitur me 3 milionë lekë apo 25 mijë euro.
Komisioneri për Mbrojtjen e të Dhënave Personale ka ndërmarrë një hetim të zgjatur në kohë sa i takon bërjes publike të të dhënave me sensitive të qytearëve dhe ka dalë me vendim më datën 24 nëntor 2022, ku janë konstatuar 6 shkelje ligjore nga tatimet për të cilat janë vendosur dhe masat administrative përkatëse.
Sipas vendimit të zbardhur, gjatë hetimit është konstatuar se “nuk ka norma specifike që rregullojnë ruajtjen, mbrojtjen dhe sigurinë e të dhënave personale, gjatë proceseve përpunuese që zhvillon Kontrolluesi, në përmbushjen e detyrave funksionale”.
Gjithashtu, “nuk janë konstatuar procese monitorimi të standardizuara dhe periodike sipas rregulloreve të hartuara për mbrojtjen e aseteve dhe informacionit, për ruajtjen, integritetin, disponueshmërinë dhe konfidencialitetin e të dhënave”.
Po ashtu, rezulton se “Drejtoria e Përgjithshme e Tattimeve, nuk ka ndërmarrë masa konkrete në kuadër të trajnimit të punonjësve që kanë akses dhe përpunojnë të dhëna personale lidhur me legjislacionin në fuqi për mbrojtjen e të dhënave personale. Rezulton mosplotësim i detyrimeve në lidhje me ngritjen, administrimin dhe mirëmbajtjen e Sistemit të Menaxhimit së Sigurisë së Informacionit (SMSI) për sa i takon mbrojtjes së të dhënave personale”.
Në vendim thuhet gjithashtu se, Kontrolluesi ka dëshmuar një qasje pjesërisht jobashkëpunuese, e cila, shoqëruar me mosadresimin e kërkesave të parashtruara në lidhje me dhënien e dokumentacionit dhe mundësimin e aksesit/demonstrimit të funksionimit të sistemit “eTaxation”, sipas kërkesave të grupit të hetimit, ka pamundësuar zhvillimin e gjerë të hetimit administrativ, në lkundërshtim me ligjin.
Ndërkaq, Drejtorisë së Tatimeve i është lënë si rekomandim kryesor që të përcaktojë në mënyrë të qartë databazat në të cilat legjitimohet të ketë akses dhe kategoritë e të dhënave që duhet të aksesoj në secilën databazë si dhe të marrë masa të menjëhershme në drejtim të ndalimit të aksesit të paligjshëm, në ato databaza, aksesi në të cilat, është në tejkalim të parimit të mjaftueshmërisë së të dhënave.
/Scan/
