Nga: Erlida Mulaku & Jona Kaso

 Marketingu pa leje – një epidemi në rritje në të dy shtetet

Qytetarët në Shqipëri dhe Kosovë ndajnë një shqetësim të përbashkët: telefonatat dhe mesazhet promovuese të padëshiruara nga kompani të panjohura, që shpesh përfshijnë oferta të dyshimta, madje edhe mashtruese. Legjislacioni në të dy vendet ndalon përpunimin dhe përdorimin e të dhënave personale për marketing pa pëlqimin e qartë të individit, por praktika tregon një situatë alarmante të shpërdorimit të këtyre të dhënave.

Sipas të dhënave të Komisionerit për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale (IDP), institucionit përgjegjës për mbikëqyrjen e zbatimit të ligjit për mbrojtjen e të dhënave personale në Shqipëri, gjatë vitit 2024 janë regjistruar 455 ankesa nga qytetarë/subjekte të të dhënave. Një pjesë e konsiderueshme e këtyre ankesave lidhej me: përhapjen e të dhënave personale pa pëlqimin e subjektit; përpunimin e të dhënave në mënyrë të padrejtë dhe të paligjshme; publikimin e tyre në media apo portale online; si dhe marketingun e drejtpërdrejtë përmes komunikimeve të pakërkuara me telefonata apo e-mail-e. Sa i përket fushës së veprimtarisë, janë ndërmarrë 44 hetime administrative ndaj kontrolluesve publikë dhe 33 ndaj kontrolluesve privatë.

Në Kosovë, Agjencia për Informim dhe Privatësi (AIP) raportoi 30 ankesa për marketing të paautorizuar vetëm gjatë vitit 2024. Sipas shefit të Divizionit për Inspektim dhe Kontroll në Departamentin për Mbrojtjen e të Dhënave Personale në AIP, Kushtrim Mustafa, është vënë re se disa kompani kanë përdorur të dhënat e klientëve për qëllime marketingu.

“Gjithashtu, ka pasur ankesa të tjera lidhur me marketingun e drejtpërdrejtë, ku një numër i palëve kanë ngritur shqetësime për përdorimin e të dhënave të tyre pa miratimin e duhur. Në këto raste është vënë re se disa kompani kanë përdorur të dhënat e klientëve pa respektuar rregullat ligjore për mbrojtjen e privatësisë,” – theksoi ai.

Kush i shpërndan të dhënat? Abuzim i brendshëm apo rrjedhje masive?

Edhe pse kompanitë kryesore të telekomunikacionit në të dy vendet nuk kanë dhënë një deklaratë zyrtare nëse shesin të dhëna, ekspertët mendojnë ndryshe.

Said Dulevic, ekspert i sigurisë në Shqipëri, thekson se një përqindje e lartë e abuzimeve ndodh përmes phishing-ut dhe abuzimeve nga vetë punonjësit.

“Ka tregues që aplikacione si WhatsApp në iOS apo sulme ndërkombëtare kanë arritur të depërtojnë në biseda të enkriptuara, pa OTP apo verifikime të tjera, dhe kjo është shumë shqetësuese. Mund të them se 60–70% e rasteve ndodhin përmes phishing-ut, ku përdoruesve u kërkohen të dhëna personale përmes një email-i apo numri telefoni, me pretekstin se janë kompani zyrtare,” – thotë për BIRN, Dulevic.

Edhe eksperti IT në Kosovë Blerim Shala, thekson se “problemi nuk qëndron te mungesa e ligjeve, por te zbatimi i tyre dhe mungesa e kontrollit të brendshëm”.

“Shumë qytetarë ankohen për spam – mesazhe ose thirrje komerciale të pakërkuara – apo raste kur të dhënat e tyre përdoren pa leje, gjë që tregon se ndonëse ligji ekziston, zbatimi i tij në praktikë duhet forcuar nga autoritetet dhe vetë kompanitë,” – thotë Shala.

Sipas tij, mbrojtja efektive e të dhënave personale varet nga zbatimi dhe mbikëqyrja.

“Megjithatë, sfidat mbeten: raportet tregojnë se shkeljet e privatësisë dhe incidentet e keqpërdorimit të të dhënave janë ende prezente dhe madje në rritje,” – shton Shala.

Endrit Xhemali, ekspert i IT-së, thekson se një nga mekanizmat më të zakonshëm përmes të cilëve të dhënat e qytetarëve përfundojnë në duart e kompanive të marketingut është mungesa e kontrolleve teknologjike dhe ndëshkimeve të forta.

“Të dhënat shpesh kategorizohen sipas grupmoshës, gjinisë, vendbanimit apo interesave, çka i ndihmon kompanitë të targetojnë përdoruesit me fushata të personalizuara marketingu,” – thotë Xhemali.

Ai gjithashtu thekson se shumë qytetarë nuk janë të ndërgjegjshëm për ekzistencën e institucioneve si Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale, ku mund të raportojnë përdorimin abuziv të të dhënave të tyre.

“Nuk duhet harruar as skandali i databazës me të dhëna personale të qytetarëve shqiptarë. Ka shumë gjasa që ato të dhëna të jenë përdorur nga kompani marketingu për të ndërtuar profile të synuara konsumatorësh,” – thotë Xhemali për BIRN.

Në një kërkesë për informacion drejtuar IDP-së, u kërkua sqarim nëse gjatë vitit 2024 dhe në fillim të 2025 janë paraqitur ankesa konkrete për përdorimin e të dhënave për qëllime marketingu nga kompanitë celulare, konkretisht Vodafone dhe One. Në përgjigjen zyrtare thuhet se nuk është paraqitur asnjë ankesë ndaj këtyre kompanive për këtë çështje. Megjithatë, në raportin vjetor 2024, Komisioneri bën të ditur se janë regjistruar gjithsej 455 ankesa nga qytetarë.

Në Kosovë është në fuqi Ligji Nr. 06/L-082 për mbrojtjen e të dhënave personale, i cili harmonizohet me standardet e Bashkimit Evropian, përfshirë Rregulloren e Përgjithshme për Mbrojtjen e të Dhënave (GDPR). Ky ligj, në nenin e pestë, përcakton se të dhënat personale mund të mblidhen dhe përpunohen vetëm për qëllime të qarta dhe të ligjshme. Përpunimi i tyre lejohet vetëm nëse individët kanë dhënë pëlqimin e tyre të qartë dhe të informuar, duke ditur saktësisht se si dhe për çfarë qëllimi do të përdoren informacionet e tyre.

Qytetarë nga të dy vendet tregojnë përvoja të ngjashme: telefonata të përsëritura nga kompani të panjohura me oferta për shërbime financiare, dyshekë, trajnime apo anketa të rreme.

Arta Mulaku nga Kosova tregon: “Shpesh më kanë thirrur në telefon për të plotësuar pyetësorë të ndryshëm nga OJQ, pa pasur asnjë informacion për ta. Nuk jam ndjerë aspak mirë, sepse ata kishin të dhënat e mia pa miratimin tim.”

Dëshmi e një mezashi nga një numër i panjohur

Bazuar në artikullin e publikuar më 20 mars të këtij viti nga The Geo Post, thuhet se qytetarët e Kosovës kanë filluar ta përdorin “Pulse Glide” si një metodë të re të gjenerimit të të ardhurave në një kohë kur platformat e investimeve online po bëhen gjithnjë e më të njohura.

“Platforma “Pulse Glide”, e cila u hulumtua për herë të parë në Afrikën e Jugut, tashmë po përdoret nga qytetarët e Kosovës si burim investimesh dhe të ardhurash. Megjithatë, shenjat e shumta paralajmëruese dhe raportet e përdoruesve tregojnë se Pulse Glide mund të mos jetë një biznes legjitim, por një mashtrim apo skemë piramidale që mund të shkaktojë humbje të konsiderueshme financiare për qytetarët e Kosovës (dhe më gjerë).” – thuhet në artikull.

Poashtu edhe prefiksi i numrit të telefonit nga i cili është dërguar mesazhi rezulton të jetë i shtetit të Mozambikut, në juglindje të Afrikës.

Eksperti Shala theksoi se rastet më të shpeshta të ankesave për shkelje të të dhënave personale nga qytetarët janë për mashtrime (spam).

Ndërsa Kushtrim Mustafa nga AIP shton se kompanitë kanë detyrimin ligjor të informojnë klientët për qëllimin, natyrën dhe përdorimin e të dhënave personale, përmes politikave të privatësisë dhe marrëveshjeve të përdoruesit.

“Ato duhet të sigurojnë që klientët të japin pëlqim të informuar për përpunimin e të dhënave, si dhe mundësinë për ta tërhequr atë në çdo kohë,” – thekson Mustafa.

Ndërsa Melsena Hoxha nga Tirana dyshon se të dhënat e saj janë shpërndarë pa pëlqim, ndoshta nga aplikacione ose kompani të treta.

“Shpesh më kanë bezdisur. Dyshoj se të dhënat janë mbledhur përmes aplikacioneve ku kam vendosur informacionin tim personal, ose janë shpërndarë nga vetë kompanitë telefonike. Njoh edhe raste të tjera ku qytetarët janë ankuar për përdorim të të dhënave pa aprovim, veçanërisht përmes telefonatave,” – thotë Hoxha për BIRN.

 Telefonatë nga kompani dyshekësh

Brisilda Taco, një qytetare aktiviste, shprehet se ka kontaktuar disa kompani për të pyetur se si kanë siguruar informacionin e saj personal, por nuk ka marrë përgjigje të qartë.

“I kam pyetur dhe më kanë thënë se të dhënat ia ka dhënë kompania. Vajzat që punonin në promocione përpiqeshin të justifikoheshin duke thënë se kishin nevojë për punë dhe nuk dinin më shumë. Më kanë telefonuar shpesh dhe kjo më ka bezdisur,” – thotë Taco për BIRN.

Një realitet që përshkon kufijtë

Sipas Endrit Xhemalit, të dhënat që përdoren nga kompani të treta për qëllime marketingu janë marrë edhe pas publikimit të databazës me të dhënat personale të qytetarëve shqiptarë, “ka shumë gjasa që ato të dhëna të jenë përdorur nga kompani marketingu për të ndërtuar profile të synuara konsumatorësh.” thotë Xhemali për BIRN

Më 19 dhjetor 2024, Kuvendi i Shqipërisë miratoi Ligjin nr. 124/2024 “Për Mbrojtjen e të Dhënave Personale”, i cili hyri në fuqi më 17 janar 2025. Ky ligj synon të harmonizojë kuadrin ligjor shqiptar me Rregulloren e Përgjithshme të BE-së për Mbrojtjen e të Dhënave (GDPR), duke vendosur rregulla më të rrepta për përpunimin e të dhënave dhe duke forcuar të drejtat e individëve mbi privatësinë.

Niuton Mulleti, pedagog në Fakultetin e Drejtësisë, thekson se çdo kompani është e detyruar të marrë pëlqimin paraprak të klientëve përpara ndarjes së të dhënave me palë të treta. Nëse kjo nuk zbatohet, konsiderohet shkelje e ligjit.

Në pyetjet e drejtuara kompanisë telefonike IPKO në Kosovë, lidhur me mbrojtjen e të dhënave personale dhe ndarjen e tyre me palë të treta, zyrtari/ja për mbrojtjen e të dhënave ka kthyer përgjigjje duke thënë se përgjigjjet janë në faqen e tyre zyrtare.

“Referuar pyetjeve tuaja të parashtruara në emailin e mëposhtëm, ju informojmë se përgjigjet e kërkuara mund t’i gjeni në faqen zyrtare të IPKO-s.” – thuhet në këtë email.

BIRN ka provuar të kontaktojë edhe Telekomin e Kosovës (VALA), mirëpo deri në momentin e publikimit të këtij artikulli, nuk ka kthyer përgjigje në pyetjet e dërguara lidhur me mbledhjen, përdorimin apo ndarjen e të dhënave personale të përdoruesve.

Sipas avokatit Ardian Bajraktari, ligji për mbrojtjen e të dhënave personale është mjaft  i avancuar, mirëpo zbatimi i tij është sfidues.

“Zbatimi i këtij ligji mbetet sfidues, për çka duhet angazhim të vetëdijësimit të përgjithshëm e me theks të veçantë tek kompanitë e tilla, me qëllim që të njëjtit ta kenë sa më të qartë rëndësinë e mbrojtjes dhe ruajtjes së të dhënave personale, e në këtë drejtim edhe roli më pro aktiv i qytetarëve në drejtim të adresimit të rasteve kur ka shkelje ose dyshim për shkelje…” – u shpreh Bajraktari për BIRN.

“Sipas ligjit, kompanitë e telekomunikacionit në Shqipëri janë të detyruara të marrin pëlqimin e klientëve përpara ndarjes së të dhënave. Megjithatë, disa prej tyre përfshijnë pëlqimin në kushtet kontraktuale, të cilat klientët shpesh nuk i lexojnë ose nuk i kuptojnë. Kjo praktikë mund të cilësohet si abuzive, pasi nuk bazohet në një pëlqim të qartë dhe të informuar,” – thotë Mulleti për BIRN.

Në raportin e publikuar në dhjetor të vitit 2024 nga organizata FOL, asnjë ndërmarrje publike nuk ka pranuar kërkesa nga qytetarët për fshirjen e të dhënave personale.

“Rrjedhimisht, është nevojë imanente rritja e ndërgjegjësimit të qytetarëve për të drejtat e tyre lidhur me mbrojtjen e të dhënave personale, e në veçanti për “të drejtën për t`u harruar”. Kjo do të ndihmojë në krijimin e një ambienti më të sigurt dhe më të mbrojtur për të dhënat personale të individëve.” – thuhet në këtë raport.

Edhe eksperti i sigurisë kibernetike, Blerim Shala, thotë se niveli i informimit të qytetarëve dhe format e ndërgjegjësimit janë të ulëta në Kosovë lidhur me mbrojtjen e të dhënave personale.

“Ky nivel i pamjaftueshëm informimi bën që shpesh qytetarët të mos reagojnë kur cenohet privatësia e tyre, thjesht sepse nuk janë të vetëdijshëm se kanë të drejta ligjore dhe mekanizma mbrojtës.” – tha Shala.

Për të marrë një pasqyrë më të qartë mbi situatën, BIRN iu drejtua kompanive One.al dhe Vodafone dy prej operatorëve kryesorë të telekomunikacionit në Shqipëri me një kërkesë për informacion dhe komente mbi çështjen, por deri në momentin e publikimit të këtij artikulli, nuk është marrë asnjë përgjigje nga kompanitë.

‘Ky artikull është prodhuar me përkrahjen financiare të Bashkimit Europian në kuadër të projektit “Fuqizimi i lajmeve cilësore dhe gazetarise se pavarur në Ballkanin perëndimor dhe Turqi II”. Përmbajtja e këtij botimi është përgjegjësi e BIRN Kosova dhe në asnjë mënyrë nuk mund të konsiderohet si qëndrim i Bashkimit Europian’.