Për Donikën (jo emri i saj i vërtetë), viti 2022 solli ditë stresuese dhe net pa gjumë. “Kam qenë nën vëzhgim gjatë gjithë kohës”, tha 24-vjeçarja nga Prishtina, kryeqyteti i Kosovës.
Gjithçka filloi një vit më parë, kur Kosova bëhej gati për zgjedhjet e parakohshme në ditën e Shën Valentinit dhe të dhënat personale të Donikës u hakeruan nga faqja e internetit e Komisionit Qendror të Zgjedhjeve, ku ajo ishte regjistruar për të votuar. Më pas, ndjekësi i saj siguroi detaje rreth punës dhe pagës së saj përmes Administratës Tatimore. Pastaj iu afrua asaj.
“Personalisht u trondita”, tha Donika për BIRN. “Isha e befasuar sesi ata arritën të kishin qasje në të dhënat e mia personale përmes institucioneve.
“Ai filloi të më ngacmonte çdo ditë. Ka qenë shumë stresuese për mua dhe nuk ndihesha e sigurt as në rrugë e as në punë.”
Donika nuk është e vetme në vuajtjen e një sulmi të tillë, qoftë në Kosovë apo në Shqipërinë fqinje. Në dhjetor të vitit të kaluar, një listë që përmbante të dhënat personale të qindra mijëra qytetarëve shqiptarë, duke përfshirë të dhënat e punësimit dhe pagave, si dhe numrat e identitetit, filloi të qarkullonte në internet.
Ekspertët thonë se individët privatë po paguajnë çmimin e sigurisë së dobët në internet nga institucionet publike.
“Të dhënat e qytetarëve po ekspozohen për shkak të gabimeve logjike dhe mosmarrjes së masave të duhura tekniko-logjike për mbrojtjen e privatësisë dhe parandalimin e ekspozimit të të dhënave ndaj palëve të treta”, tha eksperti kibernetik kosovar Mentor Hoxhaj.
Efekte të pakëndshme afatgjata
Pasojat e publikimit të të dhënave në Shqipëri vazhdojnë të ndihen ende.
Një grua 42-vjeçare nga Tirana, e cila kërkoi të mbetej anonim, tha për BIRN se të dhënat zbuluan një mospërputhje në pagat mes saj dhe të tjerëve që bënin të njëjtën punë.
“Unë jam më e vjetra në vendin tim të punës dhe mësova se të tjerët që punojnë me mua në të njëjtin sektor paguhen shumë më mirë se unë”, tha ajo. “Ishte një goditje për mua kur mësova këtë fakt dhe kjo më shtyu të vendosja ta ndryshoja punë me një tjetër ku do të kem një pagë më të mirë.”
Por avokati shqiptar Bledi Meminaj tha se më e keqja pritet ende.
“Do të kemi raste kur dikush do të marrë kredi në emër të një familjari ose do të blejë një artikull të shtrenjtë duke dhënë të dhënat e një të njohuri”, tha ai për BIRN.
Meminaj tha se Administrata Tatimore duhej të mbante përgjegjësi. “Efektet e kësaj rrjedhjeje do t’i ndjejmë pas tre vjetësh”, tha ai.
Për Eltonin (jo emri i tij i vërtetë), kjo ka ndodhur shumë më shpejt.
“Gruaja ime e mori vesh për rrogën time dhe situata u përkeqësua”, tha Eltoni, i cili i kishte thënë gruas së tij se fitonte më pak.
“E duam edhe nga një birrë pas pune, por asaj nuk i dukej normale. Ajo i donte të gjitha paratë e mia në shtëpi, për familjen. U grindëm për shumë muaj, derisa para disa ditësh ajo bëri kërkesën për divorc.”
Përfitime politike
Në Ballkan, Shqipëria shihet si më e keqja kur bëhet fjalë për mbrojtjen e të dhënave personale të qytetarëve të saj.
Rrjedhja e dhjetorit 2021 nuk ishte e para. Tetë muaj më parë, ndërsa Shqipëria po përgatitej për zgjedhjet parlamentare, portali Lapsi.al në Tiranë publikoi një bazë të dhënash me më shumë se 900,000 votues që përdorej nga Partia Socialiste në pushtet.
Dokumenti përmbante të dhëna personale si numrat e telefonit, numrat e identitetit, numrat e qendrave të votimit, detajet e punësimit dhe një përshkrim të përkatësisë politike të çdo votuesi të Tiranës. Ai madje përmendte edhe anëtarin e partisë që kishte për detyrë të gjurmonte preferencat politike të një votuesi.
Redaktori i Lapsi, Armand Shkullaku, nuk po u besonte syve.
“Dikush që njoh më tha se një grup i Partisë Socialiste po merrte të dhëna nga Agjencia Kombëtare e Shoqërisë së Informacionit (AKSH për të gjithë qytetarët, jo vetëm për Tiranën”, tha Shkullaku për BIRN. “Në total, vetëm pesë anëtarë të lartë të Partisë Socialiste kishin qasje në të dhënat, dhe më pas ato shpërndaheshin sipas një piramide në parti,” derisa arrinte tek ata që kishin për detyrë të gjurmonin votuesit individualë.
Socialistët fituan zgjedhjet, duke siguruar një mandat të tretë radhazi të paprecedentë.
Por edhe përpara se prokurorët të publikonin gjetjet e tyre, pati një rrjedhje tjetër, këtë herë të targave të makinave.
Përfundimisht, pas zgjedhjeve u arrestuan katër persona, nga AKSH-i dhe Administrata Tatimore.
Por Shkullaku akuzoi prokurorinë se e ka zvarritur çështjen për arsye politike.
“Ata kërcënuan se do të na bastisnin zyrën dhe çështja shkoi në gjykatë. Pastaj apeluam në Strasburg”, tha ai. “Por ne e kuptuam se qëllimi i tyre ishte ta zvarritnin çështjen deri më 25 prill, ditën e zgjedhjeve, sepse nëse rezultati i hetimit do të publikohej para zgjedhjeve, ai do të kishte një ndikim të madh në rezultat.”
Katër të dyshuarit më vonë u liruan dhe hetimet vazhdojnë.
Në Kosovë, shumë shkelje pak ankesa
Në Kosovë, Donika hoqi dorë nga rasti kur ngacmuesi i saj kërkoi falje.
“Autori pranoi shkeljen. Ai tregoi se si arriti të merrte të dhënat e mia dhe shprehu pendimin që e kishte bërë këtë. Gjithashtu u zotua se nuk do ta bënte më kurrë të njëjtën gjë.”
“Kjo ishte e mjaftueshme për mua. Nuk doja ta çoja çështjen në gjykatë sepse do të duheshin vite për të marrë një vendim.”
Çuditërisht, Krenare Sogojeva Dermaku, Komisionerja e Agjencisë për Informim dhe Privatësi, AIP, tha se agjencia nuk kishte marrë asnjë ankesë nga individë privatë në lidhje me shkeljen e privatësisë së të dhënave nga institucionet publike.
Sogojeva Dermaku u zgjodh në këtë post në qershor 2021 nga parlamenti pas vitesh në të cilat agjencia nuk ishte në gjendje të kryente punën e saj për shkak të mosmarrëveshjeve politike se kush duhet ta drejtonte atë.
Që prej muajit janar, AIP ka marrë 64 ankesa kundër subjekteve private për publikimin e të dhënave personale, marketing të drejtpërdrejtë, përpunimin e të dhënave biometrike për qëllime identifikimi dhe mbikëqyrjeje në hapësirat publike.
“Ndoshta qytetarët nuk janë të informuar për shërbimet tona, kështu që kjo mund të jetë arsyeja pse ata nuk parashtrojnë ankesa”, tha Sogojeva Dermaku. “Ne do të organizojmë një fushatë e cila do të informojë njerëzit se si mund të cenohet privatësia e tyre, si duhet të veprojnë dhe çfarë mund të bëjmë ne.”
Po kështu, zyra e Avokatit të Popullit në Kosovë i tha BIRN se nuk kishte marrë asnjë ankesë në lidhje me shkeljet e privatësisë përmes shërbimeve elektronike të qeverisë.
Zyrtarët e Administratës Tatimore pranojnë mangësitë dhe thonë se po punohet për përmirësimin e shërbimit.
“Kemi marrë ankesa dhe i kemi adresuar ato në Agjencinë për Informim dhe Privatësi”, tha zëdhënësja e Administratës Tatimore Valentina Bytyci Sefa.
Ajo tha për BIRN se do të bëhen përmirësime në aplikacionin e administratës për të shmangur shkeljet.
Hoxhaj, ekspert kibernetik, tha se institucionet publike thjesht nuk kishin marrë masat e duhura.
“Institucionet nuk e kanë zbatuar rregullin/standardin ‘privacy by design’, që do të thotë se në rastin kur aplikohet një shërbim, duhet të merren masat e duhura që të dhënat personale të jenë të sigurta dhe privatësia të mbrohet”, tha ai.
“Nga pikëpamja e sigurisë së informacionit, ka një shkelje të ‘konfidencialitetit’ sepse të dhënat mund të ekspozohen ndaj palëve të treta.”
Thirrje për masa radikale
Në Shqipëri, ekspertët thonë se përtej rritjes së sigurisë, duhet të ndryshohet edhe ligji për mbrojtjen e të dhënave personale.
Eksperti i IT-së Genti Progni bëri thirrje që të ashpërsohen dënimet.
“Ne besojmë dhe shpresojmë që i kemi të gjitha kushtet, sepse janë dhënë para për sigurinë”, tha Progni për BIRN. “Nuk ka siguri 100 për qind në asnjë vend, por mendoj se duhet të rritet ndëshkimi i personave që janë të autorizuar të kenë qasje dhe të abuzojnë me këtë qasje.”
Ndërkohë, zyra e Komisionerit për Mbrojtjen e të Dhënave tha se, pas një hetimi administrativ, u kishte rekomanduar autoriteteve përkatëse që të përditësojnë protokollet e sigurisë dhe të kufizojnë qasjen dhe përdorimin e të dhënave në bazat e të dhënave shtetërore.
“Është marrë edhe një vendim për vendosjen e sanksionit ndaj organit tatimor për refuzimin e bashkëpunimit”, tha Komisioneri. “Këto rekomandime duhet të zbatohen shpejt, pa dëmtuar procedurat e tjera të autoriteteve kompetente që synojnë të vlerësojnë integritetin e procesit zgjedhor.
Eksperti ligjor shqiptar Ervin Karamuco tha se më shumë se 150 persona i janë drejtuar deri më tani gjykatës për shkelje të privatësisë së tyre, por ende nuk është marrë asnjë vendim.
“Aktualisht, çdo organizatë kriminale ose grup i strukturuar kibernetik e ka shumë të lehtë të klonojë identitetin e një individi dhe ta përdorë atë për qëllime të fshehta për aktet kriminale që ata synojnë të kryejnë”, tha Karamuco.
Ai thotë se shteti duhet të marrë masa urgjente, radikale për të ndryshuar të gjitha kartat e identitetit dhe numrat e identitetit të qytetarëve shqiptarë.
“Publikimi i të dhënave personale ka vënë në shumë mënyra në rrezik jetën e shqiptarëve.”