Mbrojtja e të Dhënave — GDPR

Sipas Rregullores (BE) 2016/679 të Parlamentit Europian dhe Këshillit (GDPR), Mar Group Germany (marka PerTy) përpunon të dhënat tuaja personale bazuar në bazat e mëposhtme ligjore: a) Ekzekutimi i kontratës (Neni 6(1)(b) GDPR): Kur rezervoni një termin nëpërmjet platformës, përpunimi i të dhënave tuaja (emri, kontakti, termini) është i nevojshëm për ekzekutimin e shërbimit të kërkuar. b) Pajtueshmëria ligjore (Neni 6(1)(c) GDPR): Disa të dhëna (p.sh. të dhënat tatimore, faturimet) ruhen sipas detyrimeve ligjore që vlejnë në Kosovë dhe Bashkimin Europian. c) Interesi legjitim (Neni 6(1)(f) GDPR): Për qëllime të sigurisë, parandalimin e mashtrimit, dhe përmirësimin e shërbimeve tona, bazuar në interesin tonë legjitim. d) Pëlqimi (Neni 6(1)(a) GDPR): Për komunikimet e marketingut dhe cookie-t jo-thelbësorë, bazohemi në pëlqimin e shprehur që mund ta tërhiqni në çdo kohë.

Mbledhim dhe përpunojmë kategoritë e mëposhtme të të dhënave: Të dhëna identifikuese: • Emri dhe mbiemri • Adresa e emailit • Numri i telefonit • Adresa fizike (opsionale) • Fotografia e profilit (opsionale) Të dhëna të transaksioneve: • Historiku i rezervimeve dhe termineve • Preferencat e shërbimeve • Vlerësimet dhe komentet Të dhëna teknike: • Adresa IP • Lloji dhe versioni i shfletuesit • Koha dhe data e vizitave • Identifikatorë të sesionit (cookies) Të dhëna të komunikimit: • Korespondenca me ekipin tonë të mbështetjes

PerTy mund të transferojë të dhëna personale jashtë Zonës Ekonomike Europiane (ZEE) vetëm kur: • Vendi marrës ka vendim adekuaciteti nga Komisioni Europian (Neni 45 GDPR) • Transferimi bazohet në garanci të përshtatshme sipas Nenit 46 GDPR (Klauza Standarde Kontraktuale) • Transferimi është i nevojshëm për ekzekutimin e kontratës me ju Infrastruktura jonë teknike (Supabase/AWS) mund të përfshijë serverë në SHBA ose BE. Kur të dhënat transferohen në SHBA, bazohemi në kuadrin e Data Privacy Framework (DPF) BE-SHBA. Asnjë transferim i të dhënave nuk bëhet tek ofrues të paspecifikuar pa garanci të mjaftueshme ligjore.

Ju keni të drejtat e mëposhtme si subjekt i të dhënave: E drejta e aksesit (Neni 15 GDPR): Keni të drejtë të merrni konfirmim nëse përpunojmë të dhënat tuaja dhe kopje të të dhënave. E drejta e korrigjimit (Neni 16 GDPR): Mund të kërkoni korrigjimin e të dhënave të pasakta ose jo të plota. E drejta e fshirjes / "e drejtë të harrohesh" (Neni 17 GDPR): Mund të kërkoni fshirjen e të dhënave tuaja kur nuk janë më të nevojshme, ose kur tërhiqni pëlqimin. E drejta e kufizimit të përpunimit (Neni 18 GDPR): Mund të kërkoni kufizimin e përpunimit nën rrethanat e caktuara. E drejta e portabilitetit (Neni 20 GDPR): Të dhënat e dhëna me pëlqim ose kontratë mund t'i merrni në format të strukturuar, të lexueshëm nga makinë. E drejta e kundërshtimit (Neni 21 GDPR): Mund të kundërshtoni përpunimin bazuar në interes legjitim ose për qëllime marketingu. E drejta e moszbatimit të vendimeve të automatizuara (Neni 22 GDPR): Nuk merrni vendime të rëndësishme bazuar vetëm mbi përpunim të automatizuar.

Zbatojmë masat e mëposhtme të sigurisë sipas Nenit 32 GDPR: Masa teknike: • Enkriptim TLS 1.3 për të gjitha komunikimet • Enkriptim i databazës gjatë ruajtjes (AES-256) • Fjalëkalimet ruhen me hashing bcrypt (faktori i kostos ≥12) • Autentikimi me dy faktorë (2FA) i disponueshëm • Kontrolli i aksesit bazuar në role (RBAC) • Auditimi i plotë i aktiviteteve administrative • Backup automatike të enkriptuara çdo 24 orë • Testim i rregullt i penetrimit Masa organizative: • Trajnim i personelit për mbrojtjen e të dhënave • Politika e mbrojtjes së të dhënave (Data Protection Policy) • Procedura e trajtimit të shkeljeve të sigurisë • Vlerësimet e ndikimit mbi mbrojtjen e të dhënave (DPIA) kur kërkohet

Ruajmë të dhënat tuaja vetëm për kohën e nevojshme: Llogaria aktive: Të dhënat e llogarisë ruhen gjatë gjithë kohës që llogaria mbetet aktive. Pas mbylljes/fshirjes së llogarisë: • Të dhënat personale fshihen brenda 30 ditësh nga kërkesa e fshirjes • Periudha 30-ditëshe mundëson rivendosjen e aksidentshme Të dhënat e rezervimeve dhe transaksioneve: • Ruhen 5 vjet sipas detyrimeve tatimore (Ligji nr. 03/L-222 i Kosovës) • Pas 5 vjetësh, bëhen anonime ose fshihen Të dhënat e komunikimit: • Emailet dhe mbështetja e klientëve ruhen 2 vjet • Log-jet e sistemit: 90 ditë (jo-personale) Cookie-t: • Session cookies: fshihen kur mbyllet shfletuesi • Persistent cookies: sipas periudhës së caktuar per secilën cookie

Sipas Nenit 33-34 GDPR, në rast shkelje të sigurisë: Njoftimi i autoritetit mbikëqyrës: Brenda 72 orësh nga zbulimi i shkeljës, do të njoftojmë autoritetin kompetent mbikëqyrës (në Kosovë: Agjencia për Mbrojtjen e të Dhënave Personale — AMDP). Njoftimi i subjekteve të të dhënave: Nëse shkelja paraqet risk të lartë për të drejtat tuaja, do të njoftoheni drejtpërdrejt pa vonesë të pajustifikueshme. Dokumentimi: Çdo shkelje, pavarësisht nivelit të rrezikut, dokumentohet në regjistrin tonë të brendshëm.

PerTy ka caktuar një Delegat të Mbrojtjes së të Dhënave (DPO - Data Protection Officer) sipas Nenit 37-39 GDPR. Kontakti i DPO-s: Email: info@perty.life Adresa: Mar Group Germany, Pfadlestrasse 10, 79576 Weil am Rhein, Germany DPO mund të kontaktohet për: • Ushtrimin e të drejtave tuaja si subjekt të dhënash • Pyetje rreth mbrojtjes së të dhënave • Ankesat rreth mënyrës si përpunojmë të dhënat tuaja E drejta e ankesës: Keni të drejtë të paraqitni ankesë te autoriteti mbikëqyrës: • Agjencia për Mbrojtjen e të Dhënave Personale (AMDP) — Kosovë • Autoriteti i çdo shteti anëtar të BE ku keni vendqëndrimin