Last updated: 2026-04-07 · Version 1.0
Kjo Marrëveshje për Përpunimin e të Dhënave ("DPA") është pjesë përbërëse e Marrëveshjes Master për Shërbim dhe Kushteve të Shërbimit ("Marrëveshja") ndërmjet Yll Aliu B.I., që vepron me emërtimin tregtar ARBK Atlas ("Përpunuesi", "ne"), dhe entitetit klient që ka pranuar Marrëveshjen ("Kontrolluesi", "Klienti"). Ajo rregullon përpunimin nga Përpunuesi të të Dhënave Personale në emër të Kontrolluesit gjatë ofrimit të Shërbimit ARBK Atlas.
Për qëllimet e kësaj DPA, zbatohen përkufizimet e mëposhtme:
"Të Dhëna Personale", "Subjekt i të Dhënave", "Përpunim", "Kontrollues", "Përpunues" dhe "Nën-përpunues" kanë kuptimet që u jepen në GDPR.
"GDPR" nënkupton Rregulloren (BE) 2016/679 të Parlamentit Evropian dhe të Këshillit për mbrojtjen e personave fizikë në lidhje me përpunimin e të dhënave personale dhe lëvizjen e lirë të këtyre të dhënave.
"Ligji për Mbrojtjen e të Dhënave Personale i Kosovës" nënkupton Ligjin Nr. 06/L-082 të Republikës së Kosovës për Mbrojtjen e të Dhënave Personale.
"Të Dhënat e Klientit" nënkuptojnë çdo të Dhënë Personale që Përpunuesi përpunon në emër të Kontrolluesit sipas Marrëveshjes, duke përfshirë të dhënat e llogarisë së përdoruesit fundor, metadatat e autentifikimit, komunikimet e mbështetjes dhe regjistrat e auditimit.
"MTO" nënkupton Masat Teknike dhe Organizative të zbatuara nga Përpunuesi siç përshkruhen në Seksionin 7.
"Shërbimi" nënkupton platformën ARBK Atlas, duke përfshirë funksionet e kërkimit, kërkimit individual, monitorimit, alarmeve, eksporteve, qasjes në API dhe administrimit të llogarisë të vëna në dispozicion të Klientit sipas Marrëveshjes.
Lënda e Përpunimit janë të Dhënat e Klientit të nevojshme që Përpunuesi të ofrojë Shërbimin për Kontrolluesin në përputhje me Marrëveshjen.
Kjo DPA zbatohet për kohëzgjatjen e Marrëveshjes dhe çdo periudhë mbajtjeje të përcaktuar në Seksionin 12 më poshtë. Detyrimet që nga natyra e tyre duhet të mbijetojnë përfundimit (duke përfshirë konfidencialitetin, auditimin, fshirjen dhe njoftimin e shkeljeve) do të mbijetojnë në përputhje me rrethanat.
Përpunuesi do t'i përpunojë të Dhënat e Klientit vetëm për qëllimin e ofrimit të Shërbimit, që përfshin: kërkimin tekstual dhe të strukturuar të regjistrit të bizneseve të Kosovës, kërkimin individual të bizneseve, listat e vëzhgimit dhe monitorimin, alarmet e planifikuara dhe ad-hoc, eksportin e të dhënave, qasjen programatike në API, administrimin e faturimit përmes Tregtuesit të Regjistruar (Merchant of Record) dhe administrimin e llogarisë (autentifikimi, menaxhimi i planit, mbështetja).
Përpunuesi nuk do të përpunojë të Dhënat e Klientit për qëllimet e veta, nuk do t'i shesë të Dhënat e Klientit dhe nuk do t'i përdorë të Dhënat e Klientit për të trajnuar modele të mësimit makinerik ose të inteligjencës artificiale gjeneruese.
Kategoritë e Subjekteve të të Dhënave dhe të Dhënave Personale të përpunuara sipas kësaj DPA janë si më poshtë:
Subjektet e të Dhënave
Kategoritë e të Dhënave Personale
Shënim: regjistrimet e përfshira në vetë regjistrin e bizneseve të Kosovës, duke përfshirë të dhënat personale të përfaqësuesve dhe pronarëve të bizneseve të publikuara nga regjistri publik, përpunohen nga Përpunuesi si Kontrollues i pavarur mbi bazën ligjore të interesave legjitime (shih Politikën e Privatësisë). Ky përpunim është jashtë fushëveprimit të kësaj DPA.
Kontrolluesi garanton se ka një bazë ligjore të vlefshme sipas GDPR-së dhe/ose Ligjit për Mbrojtjen e të Dhënave Personale të Kosovës për të udhëzuar Përpunimin e të Dhënave të Klientit, dhe se ka dhënë të gjitha njoftimet informuese dhe ka marrë të gjitha pëlqimet e kërkuara nga Subjektet e të Dhënave.
Përpunuesi do t'i përpunojë të Dhënat e Klientit vetëm sipas udhëzimeve të dokumentuara të Kontrolluesit. Marrëveshja, kjo DPA dhe përdorimi i Shërbimit nga Klienti përbëjnë udhëzimet e dokumentuara të Kontrolluesit. Çdo udhëzim shtesë duhet të bjerë dakord me shkrim.
Përpunuesi do të sigurojë që personeli i autorizuar për të përpunuar të Dhënat e Klientit të jetë subjekt i detyrimeve me shkrim të konfidencialitetit dhe të ketë marrë trajnim të përshtatshëm për mbrojtjen e të dhënave.
Përpunuesi do të zbatojë dhe mbajë MTO-të e përshkruara në Seksionin 7 dhe do ta ndihmojë Kontrolluesin për të siguruar pajtueshmërinë me detyrimet e tij sipas Neneve 32 deri 36 të GDPR-së, duke marrë parasysh natyrën e Përpunimit dhe informacionin e disponueshëm për Përpunuesin.
Kontrolluesi i jep Përpunuesit autorizim të përgjithshëm me shkrim për të angazhuar Nën-përpunues për kryerjen e aktiviteteve specifike të Përpunimit në emër të tij. Lista aktuale e Nën-përpunuesve të autorizuar publikohet në /subprocessors dhe përfshin Hetzner Online GmbH (mirëmbajtje, Gjermani), Stripe Payments Europe, Ltd. (përpunim pagesash, Irlandë), Microsoft Corporation (Azure email transaksional), Google LLC (OAuth dhe Google Analytics 4).
Përpunuesi do t'i japë Kontrolluesit njoftim paraprak prej të paktën 30 ditësh (përmes përditësimit të listës publike të Nën-përpunuesve dhe, sipas kërkesës, përmes email-it) përpara shtimit ose zëvendësimit të një Nën-përpunuesi. Kontrolluesi mund të kundërshtojë një ndryshim të propozuar mbi baza të arsyeshme të mbrojtjes së të dhënave. Nëse palët nuk mund të zgjidhin kundërshtimin me mirëbesim, Kontrolluesi mund të ndërpresë pjesën e prekur të Shërbimit pa penalitet.
Përpunuesi do t'u imponojë çdo Nën-përpunuesi detyrime për mbrojtjen e të dhënave që nuk janë më pak mbrojtëse se ato të përcaktuara në këtë DPA dhe mbetet plotësisht përgjegjës ndaj Kontrolluesit për çdo dështim të një Nën-përpunuesi për të përmbushur detyrimet e tij.
Përpunuesi zbaton dhe mban masat e mëposhtme teknike dhe organizative, të dizajnuara për të mbrojtur të Dhënat e Klientit nga shkatërrimi aksidental ose i paligjshëm, humbja, ndryshimi, zbulimi ose qasja e paautorizuar:
Enkriptimi
Kontrolli i qasjes
Siguria e rrjetit
Siguria operacionale
Cikli jetësor i të dhënave
Kopjet rezervë
Reagimi ndaj incidenteve
Personeli
Për një përshkrim më të plotë teknik, shih Politikën tonë të Sigurisë në /security.
Të Dhënat e Klientit priten në qendrat e të dhënave të Hetzner Online GmbH të vendosura në Republikën Federale të Gjermanisë, brenda Zonës Ekonomike Evropiane.
Disa Nën-përpunues të autorizuar përpunojnë të Dhëna Personale të kufizuara jashtë Bashkimit Evropian: Google LLC përpunon identifikuesit OAuth dhe të dhënat analitike në Shtetet e Bashkuara. Stripe Payments Europe, Ltd. është themeluar në Irlandë (brenda BE-së); të dhëna të kufizuara pagese mund të përpunohen nga filiali i saj Stripe, Inc. (SHBA) sipas Klauzolave Standarde Kontraktuale të Komisionit Evropian.
Transferimet nga Kontrolluesit e Bashkimit Evropian ose Zonës Ekonomike Evropiane te Përpunuesi (administrata qendrore e të cilit është në Republikën e Kosovës, një vend i tretë për qëllimet e GDPR-së) bëhen sipas Klauzolave Standarde Kontraktuale të Komisionit Evropian (Vendimi (BE) 2021/914), Moduli Dy (Kontrollues-tek-Përpunues), të cilat konsiderohen të përfshira me referencë në këtë DPA. Përpunuesi do ta ndihmojë Kontrolluesin në plotësimin e çdo vlerësimi të kërkuar të ndikimit të transferimit dhe do të mbajë masa plotësuese aty ku është e përshtatshme.
Përpunuesi do ta njoftojë Kontrolluesin pa vonesë të panevojshme, dhe në çdo rast brenda 72 orëve, pasi të bëhet i ditur për një shkelje të të dhënave personale që prek të Dhënat e Klientit.
Njoftimi do të përfshijë, në masën e njohur në atë moment: natyrën e shkeljes, kategoritë dhe numrin e përafërt të Subjekteve të të Dhënave dhe regjistrimeve të prekura, pasojat e mundshme, masat e marra ose të propozuara për të adresuar shkeljen dhe për të zbutur efektet e saj të mundshme negative dhe detajet e kontaktit të personit përgjegjës për mbrojtjen e të dhënave të Përpunuesit.
Përpunuesi do të bashkëpunojë me Kontrolluesin dhe do të ofrojë ndihmën e arsyeshme që Kontrolluesi mund të kërkojë për të përmbushur detyrimet e veta të njoftimit të shkeljes sipas Neneve 33 dhe 34 të GDPR-së.
Duke marrë parasysh natyrën e Përpunimit, Përpunuesi do ta ndihmojë Kontrolluesin përmes masave të përshtatshme teknike dhe organizative, për aq sa është e mundur, në përmbushjen e detyrimit të Kontrolluesit për t'iu përgjigjur kërkesave të Subjekteve të të Dhënave për të ushtruar të drejtat e tyre sipas Neneve 12 deri 22 të GDPR-së dhe dispozitave ekuivalente në Nenet 12 deri 22 të Ligjit për Mbrojtjen e të Dhënave Personale të Kosovës, duke përfshirë të drejtat e qasjes, korrigjimit, fshirjes, kufizimit të përpunimit, transferueshmërisë së të dhënave dhe kundërshtimit.
Trajtimi standard i kërkesave përfshihet pa pagesë shtesë. Kërkesat masive, të përsëritura ose qartësisht të pabazuara mund të faturohen me koston e arsyeshme të Përpunuesit.
Kur Përpunuesi merr drejtpërdrejt një kërkesë të Subjektit të të Dhënave që lidhet me të Dhënat e Klientit, ai nuk do të përgjigjet në thelb dhe do ta përcjellë menjëherë kërkesën tek Kontrolluesi.
Përpunuesi do t'i vërë në dispozicion Kontrolluesit të gjithë informacionin e nevojshëm për të demonstruar pajtueshmërinë me detyrimet e parashtruara në Nenin 28 të GDPR-së dhe Nenin 28 të Ligjit për Mbrojtjen e të Dhënave Personale të Kosovës, dhe do të lejojë dhe kontribuojë në auditime, duke përfshirë inspektime, të kryera nga Kontrolluesi ose një auditor tjetër i autorizuar nga Kontrolluesi.
Auditimet mund të kryhen me kostot e vetë Kontrolluesit, me njoftim me shkrim prej të paktën 30 ditësh, jo më shumë se një herë në vit kalendarik (përveç rasteve kur kërkohet nga një autoritet kompetent mbikëqyrës ose pas një shkeljeje të të dhënave personale), gjatë orarit normal të punës, në një mënyrë që nuk ndërhyn pa arsye në operacionet e Përpunuesit dhe duke iu nënshtruar detyrimeve të konfidencialitetit.
Përpunuesi mund të përmbushë detyrimet e tij të auditimit duke ofruar raporte auditimi nga palë të treta (si SOC 2 Type II ose ekuivalent) kur këto adresojnë në mënyrë të arsyeshme objektivat e auditimit të Kontrolluesit.
Pas përfundimit ose skadimit të Marrëveshjes, Përpunuesi do t'i kthejë, sipas zgjedhjes së Kontrolluesit, të gjitha të Dhënat Personale të Klientit te Kontrolluesi në një format të lexueshëm nga makina që përdoret zakonisht, ose do t'i fshijë të gjitha të Dhënat Personale të Klientit, brenda 30 ditësh, përveç në masën që mbajtja kërkohet nga ligji i zbatueshëm i Bashkimit Evropian ose i Kosovës.
Kur mbajtja kërkohet me ligj, Përpunuesi do ta informojë Kontrolluesin për bazën ligjore të mbajtjes dhe do të sigurojë që të Dhënat e Klientit të mbajtura të ruhen në mënyrë konfidenciale dhe të mos përpunohen më tej.
Sipas kërkesës me shkrim, Përpunuesi do të ofrojë konfirmim me shkrim se fshirja është përfunduar.
Përgjegjësia e secilës palë që rrjedh nga ose në lidhje me këtë DPA i nënshtrohet dhe llogaritet brenda kufizimeve dhe përjashtimeve të përgjegjësisë të përcaktuara në Marrëveshjen themelore.
Asgjë në këtë DPA nuk kufizon ose përjashton përgjegjësinë e ndonjë pale kur një kufizim ose përjashtim i tillë ndalohet nga ligji i zbatueshëm i detyrueshëm për mbrojtjen e të dhënave.
Kjo DPA rregullohet dhe interpretohet në përputhje me ligjet e Republikës së Kosovës, pa marrë parasysh parimet e konfliktit të ligjeve.
Gjykatat kompetente të Prishtinës do të kenë juridiksion ekskluziv mbi çdo mosmarrëveshje që rrjedh nga ose në lidhje me këtë DPA, përveç rasteve kur tejkalohet nga rregullat e detyrueshme të mbrojtjes së konsumatorit ose mbrojtjes së të dhënave të juridiksionit të Klientit.
Klientët Enterprise që kërkojnë një kopje të nënshkruar nga ana jonë të kësaj DPA duhet të dërgojnë email në [email protected] me: (i) emrin e entitetit ligjor të Kontrolluesit, (ii) adresën e tij të regjistruar, (iii) emrin dhe titullin e nënshkruesit të autorizuar dhe (iv) çdo aneks specifik për vendin që kërkohet.
Ne do ta nënshkruajmë dhe kthejmë DPA-në brenda pesë (5) ditëve të punës nga marrja e një kërkese të plotë.
Pyetjet në lidhje me këtë DPA duhet të drejtohen në:
Kjo DPA rregullohet nga ligjet e Republikës së Kosovës. Gjykatat kompetente të Prishtinës kanë juridiksion ekskluziv, duke iu nënshtruar rregullave të detyrueshme të mbrojtjes së konsumatorit dhe të dhënave.
Kontakti i përgjithshëm: [email protected] · Impresumi · Nën-përpunuesit