Marreveshja per Perpunimin e te Dhenave (DPA)

KONTROLLUESI (Verantwortlicher): Klienti qe perdor platformen mm-logistic dhe ngarkon te dhena personale per perpunim. PERPUNUESI (Auftragsverarbeiter): Mar Group (Genton Maliqi) Pfädlistraße 10, 79576 Weil am Rhein, Germany Gjermania Ne perpunoi te dhena personale ne emer dhe sipas udhezimeve te kontrolluesit, pa pasur asnje qellim te pavarur per to. Kontrolluesi mban pergjegjesine ligjore per ligjshmerine e perpunimit, perfshire baza ligjore, qellimet dhe pelqimin e subjekteve te te dhenave kur kerkohet.

SUBJEKTI: Perpunimi i te dhenave personale qe kontrolluesi ngarkon ne platformen mm-logistic gjate perdorimit te sherbimit. KOHEZGJATJA: Perpunimi vazhdon per gjate gjithe periudhes se kontrates kryesore SaaS, plus periudhat e ruajtjes ligjore (10 vjet per dokumente fiskale sipas § 147 AO). QELLIMI: Ofrimi i sherbimit SaaS te logjistikes, depo, kontabilitetit dhe operacioneve te biznesit, ne perputhje me funksionalitetet e pershkruara ne AGB dhe planin e abonimit. NATYRA: Perpunim automatik dhe gjysem-automatik permes infrastruktures cloud te perpunuesit (hosting, baza e te dhenave, ruajtja e dokumenteve).

LLOJET E TE DHENAVE PERSONALE QE PERPUNOJME PER KONTROLLUESIN: A) Te dhena identifikuese • Emer, mbiemer • ID e brendshme te perdoruesit • Numra dokumentesh (license, kontrate) B) Te dhena kontakti • Adresa e-mail • Numra telefoni • Adresa postare/biznesi C) Te dhena fiskale dhe financiare • USt-IdNr. (numri i TVSH-se) • IBAN dhe llogari bankare • Te dhena faturash D) Te dhena lokalizimi (GPS) • Koordinata te shofereve gjate transportit • Adresa pickup dhe delivery E) Te dhena dokumentesh • Fotografi te CMR-ve, faturave, lejeve • Skanime dokumentesh shoferi KATEGORITET E SUBJEKTEVE TE TE DHENAVE: • Punonjes te klientit (administrate, kontabiliste, menaxhere depo) • Shofere te punesuar nga klienti • Klientet finale te klientit (kompani qe porositin sherbime) • Partneret e biznesit (furnizues, transportues) KATEGORITE SPECIALE TE TE DHENAVE (Art. 9 GDPR): Nuk perpunojme me vetedije kategori speciale (raca, religji, shendeti, etj.). Nese kontrolluesi ngarkon dokumente shoferi qe permbajne te dhena shendetesore (p.sh. certifikate mjekesore), kontrolluesi eshte pergjegjes per pelqimin ligjor te subjekteve.

(1) Perpunoi te dhenat personale vetem sipas udhezimeve te dokumentuara te kontrolluesit, te tregohen permes: • Konfiguracionit ne platforme (parametra, role, leje) • Veprimeve te kryera nga perdoruesit e kontrolluesit • Kerkesave specifike permes mbeshtetjes • Funksionaliteteve te zgjedhura nga kontrolluesi (2) Nese ne mendojme se nje udhezim shkel GDPR, BDSG ose ndonje ligj tjeter te zbatueshem, do ta informojme menjehere kontrolluesin dhe do te kemi te drejte te pezullojme zbatimin deri ne konfirmim. (3) Nje udhezim mund te jepet gjithashtu permes njoftimit me shkrim drejtuar dep. tone te mbeshtetjes ne privacy@mm-logistic.eu. (4) Cdo udhezim qe shkon pertej funksionaliteteve te zakonshme te platformes mund te kerkoje nje marreveshje shtese dhe tarife.

Ne zotojme: (1) Te perpunoi te dhenat vetem ne kuader te qellimeve te kontrates dhe sipas udhezimeve te kontrolluesit. (2) Te ruajme konfidencialitetin e te dhenave. Te gjithe punonjesit dhe nen-perpunuesit kane nenshkruar marreveshje konfidencialiteti. (3) Te zbatojme masa teknike dhe organizative adekuate (TOM) sipas GDPR Art. 32 - shih Aneksin 1. (4) Te bashkepunojme me kontrolluesin per t'i mundesuar pergjigjet ndaj kerkesave te subjekteve te te dhenave qe ushtrojne te drejtat e tyre (GDPR Art. 12-22). (5) Te raportojme menjehere (brenda 24 oresh) cdo shkelje te sigurise se te dhenave personale, duke perfshire: • Natyren e shkeljes • Kategorite dhe numrin aproksimativ te subjekteve te prekur • Kategorite dhe numrin aproksimativ te te dhenave • Pasojat e mundshme • Masat e marra ose te propozuara (6) Te asistojme kontrolluesin ne perpunimin e DPIA (Data Protection Impact Assessment) sipas GDPR Art. 35-36. (7) Te ofrojme te gjithe informacionin e nevojshem kontrolluesit per te demonstruar pajtueshmeri me Art. 28 - perfshire akses ne audit log dhe raporte te sigurise. (8) Pas perfundimit te kontrates, sipas zgjedhjes se kontrolluesit: • Te kthejme te gjitha te dhenat personale, ose • T'i fshijme ato (pervec rasteve kur ligji kerkon ruajtjen).

(1) Kontrolluesi jep autorizim te pergjithshem (general authorization) per ne te perdorim nen-perpunues, sipas GDPR Art. 28 par. 2. (2) Lista aktuale e nen-perpunuesve eshte ne dokumentin "Subprocessors" te lidhur ne footer. Lista perfshin: • Supabase Inc. (databaza, autentifikim, storage) - Region EU • Supabase Inc. - Region EU • Resend, Inc. - Region EU (3) Te gjithe nen-perpunuesit jane te detyruar permes marreveshjeve me shkrim te respektojne te paktet te njejtat detyrime te mbrojtjes se te dhenave si ne kete DPA (GDPR Art. 28 par. 4). (4) Ne ruajme pergjegjesi te plote per veprimet e nen-perpunuesve. (5) PARA shtimit ose zevendesimit te nje nen-perpunuesi, do te: • Ju njoftojme me shkrim te pakten 30 dite paraprakisht • Ju jepni mundesi te kundershtoni • Nese ju kundershtoni, kemi te drejte te perfundojme kontraten me njoftim 30 dite (6) Per nen-perpunues jashte BE/EEA, sigurojme baza ligjore te nevojshme (SCC, BCR, adequacy decision).

(1) Nese nje subjekt i te dhenave drejtohet tek ne me kerkesa per te ushtruar te drejtat e tij sipas GDPR Art. 15-22 (akses, korrigjim, fshirje, kufizim, portabilitet, kundershtim), ne nuk pergjigjemi drejtperdrejt por: • Konfirmojme marrjen e kerkeses brenda 5 ditesh • Drejtojme subjektin tek kontrolluesi • Informojme menjehere kontrolluesin • Ofrojme asistence teknike sipas nevojes (2) Pergjegjesi parësore per pergjigjen e kerkesave eshte e kontrolluesit. (3) Per t'ju asistuar ne pergjigje, ofrojme: • Eksport te te dhenave ne format JSON/CSV • Funksionalitet fshirjeje permes panelit te llogarise • Korrigjim te te dhenave me upload • Logging te te gjitha veprimeve te perpunimit

Ne zbatojme masat e meposhtme per te garantuar nje nivel sigurie te pershtatshem per riskun (Art. 32 GDPR): A) KONFIDENCIALITETI • Enkriptim TLS 1.3 per te dhena ne tranzit • Enkriptim AES-256 per te dhena ne pushim • Hash i fjalekalimit me Argon2/bcrypt • 2FA opsional per perdoruesit • Multi-tenancy me Row Level Security (783+ politika aktive) • Akses me principin "need-to-know" • Marreveshje konfidencialiteti me te gjithe punonjesit B) INTEGRITETI • Audit log per cdo veprim ne sistem • Versionim Git per cdo ndryshim ne schema • Constraint database (UNIQUE, FOREIGN KEY, CHECK) • Validim input ne front-end dhe back-end C) DISPONUESHMERIA • 99.9% uptime SLA • Backup te perditshme, te enkriptuara, ruajtje 30 dite • Disaster recovery plan • Auto-scaling per ngarkesat me te medha • DDoS protection (Cloudflare ose i ngjashem) D) RESILIENCA • Multi-region backup (vetem ne EU) • RTO (Recovery Time Objective): 4 ore • RPO (Recovery Point Objective): 1 ore E) TESTIMI DHE VLERESIMI • Penetration testing vjetor • Vulnerability scanning automatik • Code review per cdo PR • Dependency security audit Detaje teknike te plota gjenden ne Aneksin 1 te kesaj DPA.

(1) Kontrolluesi ka te drejten te kontrolloje permbushjen e detyrimeve te kesaj DPA permes: • Pyetjeve me shkrim drejtuar privacy@mm-logistic.eu • Aksesit ne raporte certifikimi (ISO 27001, SOC 2 - kur disponohen) • Audit ne vendin tone, pas njoftimit te pakten 30 dite paraprakisht (2) Audit ne vendin tone: • Behet gjate orarit te punes, jo me shume se 1 here ne vit, pervec ne raste te dyshuara serioze • Kostot mban kontrolluesi (pervec rasteve kur audit konstaton shkelje) • Audit nuk duhet te nderpresi operacionet tona • Auditori nenshkruan NDA paraprakisht (3) Per arsye sigurie, mund te kufizojme aksesin ne sisteme te caktuara dhe te dhena te paleve te treta (klienteve te tjere). (4) Audit i jashtem nga audit-i i certifikuar pranohet si zevendesim per audit te kontrolluesit.

(1) Gjate kontrates aktive, te dhenat ruhen sa kohe qe kontrolluesi i mban aktive ne platforme. (2) Pas perfundimit te kontrates (per cfaredo arsye): • 30 dite: Periudha e shkarkimit - kontrolluesi mund te shkarkoje te gjitha te dhenat • 90 dite: Backup-et ruhen ne arkive te ngrira (vetem per rikuperim, nuk perdoren) • Pas 90 ditesh: Te gjitha te dhenat aktive fshihen ne menyre te sigurte (3) Te dhenat e detyrueshme ligjisht (fatura, kontrata, dokumente fiskale) ruhen sipas afateve ligjore (10 vjet sipas § 147 AO), por ne arkiva te ngrira me akses te kufizuar. (4) Fshirja konfirmohet me certifikate te shkruar sipas kerkeses se kontrolluesit. (5) Pas fshirjes, te dhenat NUK mund te rikuperohen.

(1) Aktualisht NUK transferojme te dhena jashte BE/EEA. Te gjitha sistemet (Supabase, hosting, e-mail) jane te konfiguruara ne regione EU. (2) Nese ne te ardhmen do te nevojitet transferim: • Do te perdorim Standard Contractual Clauses (SCC) te Komisionit Evropian • Ose adequacy decision • Ose Binding Corporate Rules (BCR) (3) Do te ju njoftojme paraprakisht 30 dite per cdo transferim te ri jashte EEA. (4) Ju keni te drejte te kundershtoni transferimin dhe te perfundoni kontraten nese nuk pajtoni.

(1) Pergjegjesia per shkelje te kesaj DPA i nenshtrohet dispozitave te pergjegjesise se AGB-ve, me kufizimet e percaktuara aty. (2) Ndaras nga kufizimet e pergjithshme, pergjegjesia ndahet sipas GDPR Art. 82: • Cdo pale eshte pergjegjese per shkeljen e veta • Pergjegjesia eshte solidare nese te dyja palet kane kontribuar ne shkelje • Pala qe ka paguar shperblim te plote ka te drejten e rekursit ndaj te tjereve (3) Per gjobat e GDPR (deri €20M ose 4% e te ardhurave), secila pale mban gjoben e veta perveç rasteve kur tjetra ka kontribuar drejtperdrejt. (4) Asnjera pale nuk pergjigjet per: • Veprime te subjekteve te te dhenave qe shkelin AGB • Forca madhore • Shkelje per shkak te udhezimeve ilegale te kontrolluesit (pas paralajmerimit tone)

(1) Asnjera pale nuk pergjigjet per shkelje te kesaj DPA per shkak te forces madhore: • Katastrofa natyrore • Sulm kibernetik masiv jashte kontrollit • Veprime te qeverise • Embargo • Pandemi • Lufte (2) Pala e prekur duhet: • Te njoftoje paten tjeter brenda 24 oresh • Te beje perpjekje te arsyeshme per zbutje • Te perditesoje rregullisht per statusin (3) Nese forca madhore vazhdon me shume se 30 dite, secila pale mund te perfundoje DPA-ne me njoftim.

(1) Cdo ndryshim ne kete DPA kerkon formen me shkrim, perfshire kete klauzole. (2) Ne mund te propozojme ndryshime me njoftim 60 dite paraprakisht. Ndryshimet bazohen ne: • Ndryshime ligjore (GDPR, BDSG, etj.) • Vendime gjyqesore relevante • Permiresime te sigurise dhe sherbimit (3) Nese kontrolluesi nuk pajton, ka te drejten te perfundoje kontraten kryesore SaaS me njoftim 30 dite ne fund te periudhes aktuale te faturimit. (4) Pa kundershtim brenda 60 ditesh, ndryshimet konsiderohen te pranuara.

(1) Kjo DPA eshte pjese e pa-ndashme e AGB. Ne rast konflikti, kjo DPA ka perparesi per ceshtjet e mbrojtjes se te dhenave. (2) Ne rast pavlefshmerie te ndonje dispozite, dispozitat e tjera mbeten ne fuqi (klauzola e ndarshmerise). (3) Ligji i zbatueshem: gjerman, duke perjashtuar UN-Convention on International Sale of Goods (CISG). (4) Vendi i juridiksionit: Lörrach, Gjermania. (5) Versioni gjerman eshte legjikisht detyrues. Perkthimet shqiperohen vetem per lehtesi. (6) Komunikimi zyrtar duhet te kryhet ne adrese: E-mail: privacy@mm-logistic.eu Posta: Pfädlistraße 10, 79576 Weil am Rhein, Germany DPO i jone: E-mail: dpo@mm-logistic.eu