Marrëveshja e Përpunimit të të Dhënave

Përditësuar së fundi: 16 Shkurt 2026

Kjo Marrëveshje e Përpunimit të të Dhënave (“MPD”) përbën pjesë të Kushteve të Shërbimit midis Rivofin (“Përpunuesi”) dhe jush (“Kontrolluesi”), dhe rregullon përpunimin e të dhënave personale që ju dorëzoni në Shërbim në emër të klientëve tuaj ose palëve të tjera të treta.

Kjo MPD lidhet në zbatim të Nenit 28 të Rregullores së Përgjithshme për Mbrojtjen e të Dhënave (BE) 2016/679 (“GDPR”) dhe zbatohet sa herë që Rivofin përpunon të dhëna personale në emrin tuaj.

1. Përkufizimet

  • “Kontrolluesi” do të thotë ju, përdoruesi i Shërbimit, i cili përcakton qëllimet dhe mjetet e përpunimit të të dhënave personale.
  • “Përpunuesi” do të thotë Rivofin, i cili përpunon të dhënat personale në emër të Kontrolluesit.
  • “Të Dhënat Personale” do të thotë çdo informacion që lidhet me një person fizik të identifikuar ose të identifikueshëm, që Kontrolluesi dorëzon në Shërbim.
  • “Nën-përpunuesi” do të thotë një palë e tretë e angazhuar nga Rivofin për të përpunuar Të Dhënat Personale në emër të Kontrolluesit.
  • “Subjekti i të Dhënave” do të thotë personi fizik i identifikuar ose i identifikueshëm të cilit i përkasin Të Dhënat Personale.
  • “Filiali” do të thotë çdo entitet që drejtpërdrejt ose tërthorazi kontrollon, kontrollohet nga, ose është nën kontroll të përbashkët me një palë.
  • “Ligjet e Mbrojtjes së të Dhënave” do të thotë të gjitha ligjet e zbatueshme për mbrojtjen e të dhënave dhe privatësinë, duke përfshirë GDPR-në, Ligjin Shqiptar Nr. 124/2024, UK GDPR dhe Aktin e Mbrojtjes së të Dhënave 2018, FADP-në Zvicerane, Aktin e Privatësisë së Konsumatorëve të Kalifornisë (CCPA), dhe çdo legjislacion tjetër të zbatueshëm për mbrojtjen e të dhënave.
  • “Klauzolat Standarde Kontraktuale” ose “KSK” do të thotë klauzolat standarde kontraktuale të miratuara nga Komisioni Europian (Vendimi Zbatues (BE) 2021/914) për transferimin e të dhënave personale në vendet e treta.
  • “Autoriteti Mbikëqyrës” do të thotë një autoritet publik i pavarur përgjegjës për monitorimin e zbatimit të ligjit për mbrojtjen e të dhënave, duke përfshirë Komisionerin për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale të Shqipërisë (IDP) dhe çdo autoritet tjetër të zbatueshëm.
  • “Shkelja e të Dhënave” do të thotë një shkelje e sigurisë që çon në shkatërrimin aksidental ose të paligjshëm, humbjen, ndryshimin, zbulimin e paautorizuar ose aksesin në Të Dhënat Personale.
  • “VNMD” do të thotë një Vlerësim i Ndikimit në Mbrojtjen e të Dhënave siç përshkruhet në Nenin 35 të GDPR-së.
  • “Shërbimi” do të thotë platforma e menaxhimit të pasqyrave bankare Rivofin, duke përfshirë faqen e internetit, aplikacionin dhe API-në, siç përshkruhet në Kushtet e Shërbimit.

2. Fusha dhe Qëllimi i Përpunimit

2.1 Objekti

Rivofin përpunon Të Dhënat Personale të përfshira në pasqyrat bankare dhe dokumentet financiare të ngarkuara nga Kontrolluesi për të ofruar Shërbimin.

2.2 Natyra dhe Qëllimi

Aktivitetet e përpunimit përfshijnë:

  • Ruajtjen e pasqyrave bankare PDF të ngarkuara
  • Nxjerrjen e të dhënave të transaksioneve duke përdorur përpunim me inteligjencë artificiale (OCR dhe përpunim të gjuhës natyrore)
  • Përputhjen e palëve kundërshtare dhe kategorizimin e transaksioneve
  • Gjenerimin e eksporteve të strukturuara (CSV, Excel, JSON)
  • Mbajtjen e regjistrave të auditimit të aktiviteteve të përpunimit

2.3 Kategoritë e të Dhënave Personale

Të Dhënat Personale të përpunuara mund të përfshijnë:

  • Emrat e mbajtësve të llogarive dhe palëve kundërshtare të transaksioneve
  • Numrat e llogarive bankare dhe IBAN-et
  • Shumat, datat dhe përshkrimet e transaksioneve
  • Numrat e identifikimit tatimor
  • Çdo të dhënë tjetër personale të përfshirë në pasqyrat bankare të ngarkuara

2.4 Kategoritë e Subjekteve të të Dhënave

  • Klientët e Kontrolluesit dhe klientët/furnitorët e tyre
  • Individët emrat ose të dhënat e të cilëve shfaqen në pasqyrat bankare ose dokumentet referencë të ngarkuara

2.5 Vendndodhjet e Përpunimit

Përpunimi zhvillohet në Shtetet e Bashkuara dhe Bashkimin Evropian nëpërmjet nën-përpunuesve të listuar në Politikën e Privatësisë (Seksioni 5.1). Transferimet ndërkombëtare rregullohen nga Seksioni 8 i kësaj MPD-je.

2.6 Kohëzgjatja

Përpunimi vazhdon për gjithë kohëzgjatjen e përdorimit të Shërbimit nga Kontrolluesi. Pas përfundimit, të dhënat trajtohen në përputhje me Seksionin 9 të kësaj MPD-je.

2.7 Të Dhënat e Ndjeshme dhe të Kategorisë së Veçantë

Kontrolluesi pranon që pasqyrat bankare dhe dokumentet financiare mund të përmbajnë rastësisht të dhëna që zbulojnë informacion që bie brenda kategorive të veçanta të të dhënave personale sipas Nenit 9 të GDPR-së (si opinionet politike të nxjerra nga donacionet, besimet fetare të nxjerra nga të dhjetat, informacioni shëndetësor i nxjerrë nga transaksionet mjekësore, ose anëtarësimi në sindikata i nxjerrë nga kuotat). Rivofin nuk përpunon qëllimisht të dhëna të kategorisë së veçantë dhe nuk e përdor informacionin e tillë për asnjë qëllim tjetër përveç ofrimit të Shërbimit.

Kontrolluesi është përgjegjës për sigurimin që çdo përpunim i të dhënave të kategorisë së veçantë nëpërmjet Shërbimit ka një bazë ligjore të vlefshme sipas Nenit 9(2) të GDPR-së dhe për zbatimin e masave mbrojtëse të përshtatshme. Rivofin do të zbatojë të njëjtat masa teknike dhe organizative sigurie të përshkruara në Seksionin 6 dhe Aneksin 2 për të gjitha Të Dhënat Personale, duke përfshirë çdo të dhënë rastësore të kategorisë së veçantë.

2.8 Rivofin si Kontrollues

Palët pranojnë që Rivofin vepron në mënyrë të pavarur si kontrollues i të dhënave për kategori të caktuara të të dhënave personale, duke përfshirë: informacionin e llogarisë (emrat, adresat e emailit), të dhënat e përdorimit (të dhënat e regjistrit, informacioni i pajisjes, faqet e shikuara), informacionin e faturimit dhe korrespondencën e mbështetjes. Përpunimi i të dhënave të tilla rregullohet nga Politika e Privatësisë e Rivofin dhe është jashtë fushës së kësaj MPD-je.

Kjo MPD rregullon vetëm përpunimin e Të Dhënave Personale ku Rivofin vepron si përpunues në emër të Kontrolluesit (d.m.th., të dhënat e përfshira në pasqyrat bankare, dokumentet financiare dhe përmbajtjen përkatëse të dorëzuar nga Kontrolluesi në Shërbim).

3. Detyrimet e Përpunuesit

Rivofin do të:

  • Përpunojë Të Dhënat Personale vetëm sipas udhëzimeve të dokumentuara nga Kontrolluesi, duke përfshirë transferimet në një vend të tretë, përveçse kur kërkohet nga ligji i BE-së ose i shtetit anëtar
  • Informojë menjëherë Kontrolluesin nëse, sipas mendimit të Rivofin, një udhëzim shkel GDPR-në ose dispozita të tjera të mbrojtjes së të dhënave të BE-së ose shtetit anëtar
  • Sigurojë që personat e autorizuar për të përpunuar Të Dhënat Personale të kenë marrë angazhim konfidencialiteti ose të jenë nën një detyrim ligjor përkatës konfidencialiteti
  • Zbatojë masa të përshtatshme teknike dhe organizative sigurie siç përshkruhet në Politikën e Privatësisë (Seksioni 8)
  • Angazhojë nën-përpunues vetëm në përputhje me Seksionin 5 të kësaj MPD-je
  • Njoftojë Kontrolluesin brenda 5 ditëve pune nga marrja e një kërkese të Subjektit të të Dhënave, dhe të ndihmojë Kontrolluesin në përgjigjen ndaj kërkesave të tilla (aksesi, korrigjimi, fshirja, transportueshmëria, etj.) nëpërmjet masave të përshtatshme teknike dhe organizative
  • Ndihmojë Kontrolluesin në sigurimin e përputhshmërisë me Nenet 32-36 të GDPR-së, duke përfshirë kryerjen e Vlerësimeve të Ndikimit në Mbrojtjen e të Dhënave (VNMD) për aktivitetet e përpunimit me rrezik të lartë dhe ofrimin e informacionit të nevojshëm për VNMD-të e vetë Kontrolluesit me kërkesë
  • Fshijë ose kthejë të gjitha Të Dhënat Personale pas përfundimit të Shërbimit, sipas zgjedhjes së Kontrolluesit, përveçse kur ligji i BE-së ose i shtetit anëtar kërkon ruajtjen
  • Vërë në dispozicion të Kontrolluesit të gjithë informacionin e nevojshëm për të demonstruar përputhshmërinë me Nenin 28 të GDPR-së, dhe të lejojë dhe kontribuojë në auditime
  • Mbajë regjistrat e aktiviteteve të përpunimit të kryera në emër të Kontrolluesit në përputhje me Nenin 30(2) të GDPR-së

3.1 Vlerësimet e Ndikimit në Mbrojtjen e të Dhënave

Rivofin do të ofrojë ndihmë të arsyeshme për Kontrolluesin në kryerjen e Vlerësimeve të Ndikimit në Mbrojtjen e të Dhënave (VNMD) siç kërkohet nga Neni 35 i GDPR-së, dhe konsultimet paraprake me Autoritetet Mbikëqyrëse siç kërkohet nga Neni 36 i GDPR-së. Kjo ndihmë përfshin:

  • Ofrimin e informacionit rreth natyrës, fushës, kontekstit dhe qëllimeve të përpunimit
  • Përshkrimin e masave teknike dhe organizative të sigurisë të zbatuara
  • Identifikimin e rreziqeve ndaj të drejtave dhe lirive të Subjekteve të të Dhënave që lindin nga përpunimi
  • Bashkëpunimin me Autoritetin Mbikëqyrës në kryerjen e detyrave të tij, me kërkesën e Kontrolluesit

Kontrolluesi pranon që përpunimi i dokumenteve financiare me inteligjencë artificiale mund të përbëjë një lloj përpunimi që ka të ngjarë të rezultojë në rrezik të lartë ndaj të drejtave dhe lirive të personave fizikë sipas Nenit 35(3)(a) të GDPR-së, dhe duhet të kryejë një VNMD në përputhje.

3.2 Ndihma për të Drejtat e Subjekteve të të Dhënave

Rivofin do të ndihmojë Kontrolluesin në përmbushjen e detyrimeve të tij për t'iu përgjigjur kërkesave të Subjekteve të të Dhënave sipas Kapitullit III të GDPR-së (Nenet 15-22), duke përfshirë kërkesat për akses, korrigjim, fshirje, kufizim, transportueshmëri të dhënash dhe kundërshtim. Konkretisht:

  • Rivofin do të njoftojë Kontrolluesin brenda 5 ditëve pune nga marrja e një kërkese nga një Subjekt i të Dhënave në lidhje me Të Dhënat Personale të përpunuara sipas kësaj MPD-je
  • Rivofin nuk do t'u përgjigjet drejtpërdrejt kërkesave të Subjekteve të të Dhënave përveçse nëse autorizohet nga Kontrolluesi ose kërkohet nga ligji i zbatueshëm
  • Rivofin do t'i ofrojë Kontrolluesit mjetet teknike për eksportimin, korrigjimin ose fshirjen e Të Dhënave Personale sipas nevojës për përmbushjen e kërkesave të Subjekteve të të Dhënave
  • Shërbimi ofron veçori të integruara për eksportin e të dhënave (CSV, JSON, XLSX) dhe fshirjen që Kontrolluesi mund t'i përdorë për përmbushjen e kërkesave të transportueshmërisë dhe fshirjes
  • Kontrolluesi mban kostot e çdo mase të jashtëzakonshme të nevojshme për përmbushjen e kërkesave komplekse ose voluminoze të Subjekteve të të Dhënave, përveçse nëse kostot e tilla rezultojnë nga mospërputhja e Rivofin me këtë MPD

4. Detyrimet e Kontrolluesit

Kontrolluesi do të:

  • Sigurojë që përpunimi i Të Dhënave Personale nëpërmjet Shërbimit të ketë një bazë ligjore të vlefshme sipas GDPR-së
  • Marrë të gjitha pëlqimet dhe autorizimet e nevojshme nga Subjektet e të Dhënave përpara ngarkimit të Të Dhënave të tyre Personale
  • Japë udhëzime të dokumentuara për përpunimin e Të Dhënave Personale
  • Informojë Rivofin për çdo kërkesë të Subjektit të të Dhënave që kërkon ndihmën e Rivofin

5. Nën-përpunuesit

5.1 Autorizimi

Kontrolluesi jep autorizim të përgjithshëm me shkrim për Rivofin për të angazhuar nën-përpunues për kryerjen e aktiviteteve specifike të përpunimit. Lista aktuale e nën-përpunuesve, duke përfshirë emrat, qëllimet, të dhënat e përpunuara dhe vendndodhjet e përpunimit, mbahet në Politikën e Privatësisë (Seksioni 5.1).

5.2 Njoftimi i Ndryshimeve

Rivofin do të njoftojë Kontrolluesin me email të paktën 30 ditë përpara shtimit ose zëvendësimit të një nën-përpunuesi, duke i dhënë Kontrolluesit mundësinë për të kundërshtuar. Nëse Kontrolluesi kundërshton mbi baza të arsyeshme lidhur me mbrojtjen e të dhënave, Rivofin do të bëjë përpjekje tregëtarisht të arsyeshme për të ofruar një alternativë ose, nëse nuk është e mundur, Kontrolluesi mund të përfundojë Shërbimin e prekur pa penalitet.

5.3 Marrëveshjet me Nën-përpunuesit

Rivofin do të vendosë detyrime kontraktuale mbi çdo nën-përpunues që nuk janë më pak mbrojtëse se ato në këtë MPD, duke përfshirë detyrimet në lidhje me konfidencialitetin, sigurinë dhe mbrojtjen e të dhënave.

6. Masat e Sigurisë

Rivofin zbaton dhe mirëmban masa të përshtatshme teknike dhe organizative për të mbrojtur Të Dhënat Personale, duke përfshirë:

  • Enkriptimin e të dhënave në tranzit (TLS 1.2+) dhe në ruajtje (AES-256-GCM)
  • Kontrolle aksesi me leje të bazuara në role
  • Vlerësime të rregullta sigurie dhe testime të cenueshmërisë
  • Autentikim të sigurt me autentikim me dy faktorë opsional
  • Monitorim dhe alarmim të automatizuar për ngjarje sigurie
  • Kontrolle të sfondit të punonjësve dhe trajnim sigurie
  • Pseudonimizimi i të dhënave personale ku është i mundshëm dhe i përshtatshëm
  • Sigurimi i qëndrueshmërisë së vazhdueshme të sistemeve dhe shërbimeve të përpunimit
  • Aftësia për të rivendosur disponueshmërinë dhe aksesin në të dhënat personale në kohë të shkurtër në rast të një incidenti fizik ose teknik

7. Njoftimi i Shkeljeve të të Dhënave

Në rast të një shkeljeje të Të Dhënave Personale, Rivofin do të:

  • Njoftojë Kontrolluesin pa vonesë të panevojshme pasi të bëhet i vetëdijshëm për shkeljen, dhe në çdo rast brenda 36 orëve
  • Furnizojë Kontrolluesin me informacion të mjaftueshëm për të përmbushur detyrimet e Kontrolluesit për njoftim shkeljeje sipas Neneve 33 dhe 34 të GDPR-së
  • Bashkëpunojë me Kontrolluesin dhe të marrë hapa të arsyeshme për të ndihmuar në hetimin, zbutjen dhe riparimin e shkeljes

Njoftimi do të përfshijë, në masën e disponueshme: natyrën e shkeljes, kategoritë dhe numrin e përafërt të Subjekteve të të Dhënave dhe regjistrimeve të të dhënave personale të prekura, pasojat e mundshme, detajet e kontaktit të Oficerit të Mbrojtjes së të Dhënave, dhe masat e marra ose të propozuara për adresimin e shkeljes.

8. Transferimet Ndërkombëtare

Kur Të Dhënat Personale transferohen jashtë ZEE-së (shihni listën e nën-përpunuesve në Politikën e Privatësisë), Rivofin siguron që mbrojtje të përshtatshme janë vendosur nëpërmjet:

  • Klauzolat Standarde Kontraktuale (KSK) të miratuara nga Komisioni Evropian (Vendimi Zbatues i Komisionit (BE) 2021/914), Moduli 2 (Kontrollues te Përpunues)
  • Për transferimet nga Rivofin te nën-përpunuesit e saj, zbatohet Moduli 3 (Përpunues te Nën-përpunues) i Klauzollave Standarde Kontraktuale.
  • Masave plotësuese kur është e nevojshme, duke ndjekur rekomandimet e Bordit Evropian për Mbrojtjen e të Dhënave

Për transferimet e të dhënave personale të Mbretërisë së Bashkuar, Rivofin mbështetet në Marrëveshjen Ndërkombëtare të Transferimit të të Dhënave të MB-së (IDTA) ose Shtojcën e MB-së ndaj KSK-ve të BE-së, sipas rastit.

Për transferimet e të dhënave personale zvicerane, Rivofin mbështetet në Klauzolat Standarde Kontraktuale të njohura nga Komisioneri Federal Zviceran për Mbrojtjen e të Dhënave dhe Informacionit (FDPIC).

Rivofin kryen dhe dokumenton Vlerësime të Ndikimit të Transferimit për çdo transfertë ndërkombëtare, duke vlerësuar kornizën ligjore të vendit marrës dhe duke zbatuar masa plotësuese kur është e nevojshme.

9. Kthimi dhe Fshirja e të Dhënave

Pas përfundimit ose skadimit të Shërbimit:

  • Kontrolluesi mund të eksportojë të dhënat e tij duke përdorur veçoritë e integruara të eksportit përpara përfundimit
  • Rivofin do të fshijë të gjitha Të Dhënat Personale brenda 30 ditëve nga përfundimi i llogarisë, përveçse kur ligji i BE-së ose i shtetit anëtar kërkon ruajtje të vazhdueshme
  • Të dhënat në kopje rezervë të enkriptuara do të pastrohen kur kopjet rezervë skadojnë natyrshëm (brenda 30 ditëve)
  • Me kërkesë, Rivofin do të ofrojë konfirmim me shkrim të fshirjes së të dhënave

10. Auditimet

Rivofin do të vërë në dispozicion të Kontrolluesit informacionin e nevojshëm për të demonstruar përputhshmërinë me detyrimet në Nenin 28 të GDPR-së dhe këtë MPD.

Kontrolluesi (ose një auditor i pavarur i palës së tretë i caktuar nga Kontrolluesi) mund të kryejë një auditim të aktiviteteve të përpunimit të Rivofin, me kushtet e mëposhtme:

  • Auditimet kërkojnë të paktën 30 ditë njoftim me shkrim
  • Auditimet do të kryhen gjatë orarit normal të punës
  • Auditori duhet të jetë i lidhur me detyrime konfidencialiteti dhe nuk duhet të jetë konkurrent i Rivofin
  • Auditimet do të kryhen jo më shumë se një herë në vit, përveçse kur kërkohet nga ligji
  • Kontrolluesi mban kostot e auditimeve (përveçse kur auditimi zbulon mospërputhje materiale nga Rivofin)

11. Klientët e Sektorit Financiar (DORA)

Kur Kontrolluesi është një entitet financiar i nënshtrurar ndaj Aktit të Qëndrueshmërisë Operacionale Dixhitale (Rregullorja (BE) 2022/2554, “DORA”), kushtet e mëposhtme shtesë zbatohen në masën e kërkuar nga Neni 30 i DORA-s:

  • Rivofin do të ofrojë përshkrime të qarta të shërbimeve TIK, duke përfshirë objektivat e nivelit të shërbimit për disponueshmërinë, kohët e përgjigjes dhe performancën
  • Rivofin do të njoftojë Kontrolluesin pa vonesë të panevojshme për çdo incident të lidhur me TIK që mund të ndikojë shërbimet e ofruara
  • Rivofin do të mirëmbajë dhe testojë planet e vazhdimësisë së biznesit dhe rimëkëmbjes nga fatkeqësitë, dhe do të vërë përmbledhje në dispozicion të Kontrolluesit me kërkesë
  • Rivofin do t'i japë Kontrolluesit dhe autoriteteve të tij kompetente të drejta të plota aksesi dhe bashkëpunimi për auditime dhe inspektime të lidhura me përputhshmërinë me DORA-n
  • Rivofin do të ndihmojë Kontrolluesin me strategjitë e daljes, duke përfshirë migrimin e të dhënave dhe mbështetjen e tranzicionit, me periudha të arsyeshme njoftimi
  • Rivofin do të marrë pjesë në proceset e vlerësimit të rrezikut të palës së tretë TIK të Kontrolluesit dhe do të ofrojë informacionin e nevojshëm për regjistrin e informacionit të Kontrolluesit sipas Nenit 28 të DORA-s

Këto dispozita DORA plotësojnë dhe nuk zëvendësojnë detyrimet në pjesën tjetër të kësaj MPD-je. Në rast konflikti, dispozita që ofron mbrojtje më të madhe për Të Dhënat Personale do të mbizotërojë.

12. Përputhshmëria me Ligjet e Privatësisë së Shteteve të SHBA-së

Kur Akti i Privatësisë së Konsumatorëve të Kalifornisë (CCPA), Akti i Mbrojtjes së të Dhënave të Konsumatorëve të Virxhinias (VCDPA), ose ligje të tjera të privatësisë së shteteve të SHBA-së zbatohen për përpunimin e Të Dhënave Personale sipas kësaj MPD-je:

  • Rivofin vepron si “ofrues shërbimi” (siç përkufizohet nga CCPA) ose “përpunues” (siç përkufizohet nga ligjet e zbatueshme të privatësisë së shteteve të SHBA-së) në lidhje me Të Dhënat Personale të përpunuara në emër të Kontrolluesit
  • Rivofin nuk do të shesë ose ndajë Të Dhënat Personale, siç përkufizohen këto terma sipas CCPA-së ose ligjeve të zbatueshme të privatësisë së shteteve të SHBA-së
  • Rivofin nuk do të ruajë, përdorë ose zbulojë Të Dhënat Personale për ndonjë qëllim tjetër përveç qëllimeve të biznesit të specifikuara në këtë MPD, ose siç lejohet ndryshe nga CCPA ose ligjet e zbatueshme të privatësisë së shteteve të SHBA-së
  • Rivofin nuk do të kombinojë Të Dhënat Personale të marra nga Kontrolluesi me Të Dhëna Personale të marra nga burime të tjera, përveçse siç lejohet nga CCPA ose ligjet e zbatueshme të privatësisë së shteteve të SHBA-së
  • Rivofin do të ndihmojë Kontrolluesin në përgjigjen ndaj kërkesave të verifikueshme të konsumatorëve për të ditur, fshirë ose korrigjuar Të Dhënat Personale, brenda afateve kohore të kërkuara nga ligji i zbatueshëm
  • Rivofin i jep Kontrolluesit të drejtën të marrë hapa të arsyeshme dhe të përshtatshme për të siguruar që Rivofin përdor Të Dhënat Personale në një mënyrë në përputhje me detyrimet e Kontrolluesit sipas ligjeve të zbatueshme të privatësisë së shteteve të SHBA-së
  • Rivofin do të njoftojë Kontrolluesin nëse përcakton se nuk mund të përmbushë më detyrimet e veta sipas ligjeve të zbatueshme të privatësisë së shteteve të SHBA-së

13. Përgjegjësia

Përgjegjësia e secilës palë sipas kësaj MPD-je i nënshtrohet kufizimeve të përgjegjësisë të parashikuara në Kushtet e Shërbimit, përveç se asgjë në Kushtet e Shërbimit nuk kufizon ose përjashton përgjegjësinë e asnjërës palë për detyrimet sipas GDPR-së që nuk mund të kufizohen me kontratë, duke përfshirë përgjegjësinë ndaj subjekteve të të dhënave sipas Nenit 82 të GDPR-së.

14. Ligji i Zbatueshëm

Kjo MPD rregullohet nga ligjet e Republikës së Shqipërisë, pa marrë parasysh parimet e konfliktit të ligjeve, dhe i nënshtrohet juridiksionit të gjykatave të Tiranës, Shqipëri. Kur zbatohet GDPR-ja, kjo MPD do të interpretohet në përputhje me GDPR-në.

Kjo MPD i nënshtrohet gjithashtu Ligjit Shqiptar Nr. 124/2024 për Mbrojtjen e të Dhënave Personale. Kur zbatohen si GDPR-ja ashtu edhe ligji shqiptar, dispozita që ofron mbrojtje më të madhe për Të Dhënat Personale do të mbizotërojë.

15. Konflikti dhe Përparësia

Në rast të ndonjë konflikti midis dispozitave të kësaj MPD-je dhe Kushteve të Shërbimit, dispozitat e kësaj MPD-je do të mbizotërojnë në lidhje me përpunimin dhe mbrojtjen e Të Dhënave Personale. Në rast të ndonjë konflikti midis kësaj MPD-je dhe Klauzollave Standarde Kontraktuale (Aneksi 4), Klauzolat Standarde Kontraktuale do të mbizotërojnë.

16. Ndryshimet në Këtë Marrëveshje

Ne e rishikojmë këtë Marrëveshje të Përpunimit të të Dhënave të paktën një herë në vit për të siguruar që mbetet e saktë dhe në përputhje me ligjet e zbatueshme. Ndryshimet materiale do të komunikohen me të paktën 30 ditë njoftim.

17. Kontakti

Për pyetje rreth kësaj MPD-je ose për të ushtruar të drejtat tuaja, ju lutem kontaktoni:

Aneksi 1: Përshkrimi i Përpunimit

Përshkrimi i aktiviteteve të përpunimit parashikohet në Seksionin 2 të kësaj MPD-je, duke përfshirë objektin, natyrën dhe qëllimin e përpunimit, kategoritë e të dhënave personale, kategoritë e subjekteve të të dhënave, vendndodhjet e përpunimit dhe kohëzgjatjen.

Aneksi 2: Masat Teknike dhe Organizative

Përpunuesi zbaton masat e mëposhtme teknike dhe organizative për të mbrojtur Të Dhënat Personale:

  • Enkriptimi i të dhënave në tranzit duke përdorur TLS 1.2+ dhe në ruajtje duke përdorur AES-256-GCM me çelësa enkriptimi të menaxhuar që ruhen në mënyrë të sigurt dhe veças nga të dhënat e enkriptuara
  • Fjalëkalimet e hash-uara duke përdorur scrypt me kripë për çdo përdorues
  • Autentifikimi me dy faktorë (TOTP) i disponueshëm për të gjitha llogaritë
  • Kontrolle aksesi të bazuara në role që kufizojnë aksesin e të dhënave në personelin e autorizuar
  • Regjistra automatikë auditimi për të gjitha aksesin dhe modifikimet e të dhënave
  • Vlerësime të rregullta sigurie dhe testime të cenueshmërisë
  • Monitorim dhe alarmim i automatizuar për ngjarje sigurie
  • Kopje rezervë të bazës së të dhënave të enkriptuara dhe të ruajtura për 30 ditë (me rotacion)
  • Hostim në ofrues infrastrukture të certifikuar SOC 2
  • Vlerësime të Ndikimit në Mbrojtjen e të Dhënave të kryera për aktivitetet e përpunimit me rrezik të lartë
  • Marrëveshje konfidencialiteti me punonjësit dhe trajnim sigurie
  • Procedura të reagimit ndaj incidenteve të dokumentuara dhe të testuara
  • Pseudonimizimi i zbatuar ku është i mundshëm
  • Qëndrueshmëria e sistemit nëpërmjet infrastrukturës redundante dhe kalimit automatik
  • Procedurat e rimëkëmbjes nga fatkeqësitë për rivendosjen e aksesit në të dhëna brenda objektivave të përcaktuara të kohës së rimëkëmbjes
  • Kontrolle ndarjeje që sigurojnë izolimin e të dhënave me shumë qiramarrës, duke parandaluar aksesin ose shikimin e të dhënave të një klienti nga një klient tjetër
  • Siguria fizike e vendndodhjeve të përpunimit e menaxhuar nëpërmjet ofruesve të infrastrukturës cloud të certifikuar SOC 2 me kontrolle aksesi, mbikëqyrje dhe mbrojtje mjedisore
  • Regjistrimi i ngjarjeve dhe monitorimi i të gjithë aksesit në Të Dhënat Personale, me regjistrat e ruajtura për qëllime hetimi sigurie
  • Qeverisja e sigurisë TI duke përfshirë politika sigurie të dokumentuara, procedura dhe caktime të përgjegjësisë organizative
  • Minimizimi i të dhënave i zbatuar në përputhje me Nenin 5(1)(c) të GDPR-së, duke mbledhur dhe përpunuar vetëm Të Dhënat Personale të nevojshme për qëllimet e deklaruara

Aneksi 3: Lista e Nën-përpunuesve

Lista aktuale e nën-përpunuesve të miratuar mbahet në Politikën e Privatësisë (Seksioni 5.1) dhe përfshin emrin e nën-përpunuesit, qëllimin, të dhënat e përpunuara dhe vendndodhjen e përpunimit. Kontrolluesi do të njoftohet për ndryshimet në përputhje me Seksionin 5.2 të kësaj MPD-je.

Aneksi 4: Klauzolat Standarde Kontraktuale

Për transferimet ndërkombëtare të të dhënave jashtë ZEE-së, Përpunuesi mbështetet në Klauzolat Standarde Kontraktuale të miratuara nga Komisioni Evropian (Vendimi Zbatues i Komisionit (BE) 2021/914), konkretisht Modulin 2 (Kontrollues te Përpunues). Për transferimet Rivofin-te-nën-përpunues, zbatohet Moduli 3 (Përpunues te Nën-përpunues). Kopje të KSK-ve të ekzekutuara janë të disponueshme me kërkesë duke kontaktuar privacy@rivofin.com.

Aneksi 5: Dispozitat Specifike për Juridiksionin

Zona Ekonomike Europiane (ZEE)

Kur Kontrolluesi është i themeluar në ZEE ose përpunimi lidhet me Subjektet e të Dhënave të ZEE-së, GDPR-ja zbatohet për të gjithë përpunimin sipas kësaj MPD-je. Autoriteti Mbikëqyrës kryesor për Rivofin është Komisioneri për të Drejtën e Informimit dhe Mbrojtjen e të Dhënave Personale të Shqipërisë (IDP).

Mbretëria e Bashkuar

Kur përpunimi lidhet me Subjektet e të Dhënave të MB-së, zbatohen UK GDPR dhe Akti i Mbrojtjes së të Dhënave 2018. Transferimet ndërkombëtare të të dhënave personale të MB-së rregullohen nga Marrëveshja Ndërkombëtare e Transferimit të të Dhënave të MB-së (IDTA) ose Shtojca e MB-së ndaj KSK-ve të BE-së. Autoriteti përkatës Mbikëqyrës është Zyra e Komisionerit të Informacionit (ICO).

Zvicra

Kur përpunimi lidhet me Subjektet e të Dhënave zvicerane, zbatohet Akti Federal Zviceran për Mbrojtjen e të Dhënave (FADP). Transferimet ndërkombëtare të të dhënave personale zvicerane mbështeten në Klauzolat Standarde Kontraktuale të njohura nga FDPIC-u Zviceran. Autoriteti përkatës është Komisioneri Federal për Mbrojtjen e të Dhënave dhe Informacionit (FDPIC).

Shtetet e Bashkuara

Kur zbatohet CCPA, VCDPA, ose ligje të tjera të privatësisë së shteteve të SHBA-së, dispozitat e Seksionit 12 (Përputhshmëria me Ligjet e Privatësisë së Shteteve të SHBA-së) të kësaj MPD-je rregullojnë. Rivofin vepron si “ofrues shërbimi” sipas CCPA-së dhe “përpunues” sipas ligjeve të tjera të zbatueshme të privatësisë së shteteve të SHBA-së.

Historiku i Versioneve

VersioniDataNdryshimet
1.016 Shkurt 2026Versioni fillestar

Ky dokument është i disponueshëm edhe në Anglisht.