Kur krijoni një llogari në Access.al ose përdorni shërbimet tona, ne mbledhim të dhëna që ju jepni drejtpërdrejt, si email-i, emri i plotë, numri i telefonit (opsional), emri i biznesit dhe adresa e biznesit. Këto janë të nevojshme për funksionimin e llogarisë dhe ofrimin e shërbimit.
Të dhënat e pagesës (numri i kartës, CVV, data e skadencës) përpunohen ekskluzivisht nga Stripe Inc. dhe NUK ruhen kurrë te serverët tanë. Ne marrim vetëm një referencë token (stripe_customer_id) që na lejon të lidhim faturimin me llogarinë tuaj.
Kur përdorni platformën, sistemi ynë regjistron automatikisht: adresën IP, identifikuesin e shfletuesit (user-agent), kohën e hyrjes/daljes, dhe veprimet kryesore në audit log (krijim porosie, ndryshim cilësimesh, etj.). Këto rrjedhin nga arsye sigurie dhe vazhdimësie shërbimi.
Cookies dhe teknologji të ngjashme (localStorage) përdoren si përshkruhet në Seksionin 5.
Të dhënat tuaja personale përdoren për: (a) menaxhimin e llogarisë suaj — krijim, login, ndërrim biznesi për ata që zotërojnë disa biznese; (b) ofrimin e shërbimit — procesimin e porosive, faturimit, gjenerimin e faturave fiskale; (c) komunikimin transaksional — dërgimi i email-eve për konfirmim, OTP për verifikim, njoftime për fshirjen e llogarisë.
Përdoren gjithashtu për: (d) sigurinë — zbulimin e mashtrimit, mbrojtjen e llogarisë, monitorimin e tentativave të dyshimta; (e) përmbushjen e detyrimeve ligjore — ruajtja e faturave dhe regjistrave fiskalë sipas Ligjit nr. 9920/2008 për procedurat tatimore.
Përmirësimi i shërbimit (statistikat e përdorimit) ndodh VETËM nëse keni dhënë konsentin tuaj eksplicit përmes banner-it të cookies (kategoria Analitika). Pa konsent, asnjë analitikë jo-esenciale nuk ekzekutohet.
Përpunimi i të dhënave tuaja bazohet në një ose më shumë nga këto baza ligjore: (b) Kontrata — për menaxhimin e llogarisë dhe ofrimin e shërbimit që keni kërkuar.
(c) Detyrim ligjor — për ruajtjen e faturave dhe regjistrave fiskalë për 10 vjet sipas Ligjit nr. 9920/2008.
(f) Interes legjitim — për sigurinë e platformës, zbulimin e mashtrimit, dhe stabilitetin e shërbimit (audit log, monitoring).
(a) Konsenti — për cookies analitike dhe marketingu (opsionale, kontrollohen përmes banner-it). Konsenti mund të tërhiqet në çdo kohë.
Ne përdorim ofruesit e mëposhtëm si "data processors" për të mbështetur shërbimin tonë. Kontratat me secilin përfshijnë GDPR-compliant Data Processing Agreements (DPA):
• Stripe Inc. (Shtetet e Bashkuara): procesim pagesash. Transferim ndërkombëtar nën EU Standard Contractual Clauses (SCC).
• DeepL SE (Gjermani, BE): API për përkthime automatike menyje. EU adequacy decision.
• Hostinger International Ltd. (Qipro, BE): hosting i infrastrukturës (servera + databazë + storage). EU adequacy decision.
• Google LLC (Shtetet e Bashkuara): OAuth login opsional. Transferim nën SCC.
• Telegram FZ-LLC (Irlanda/EAU): njoftime opsionale për operatorin. Përdoret VETËM nëse aktivizohet manualisht.
NE NUK SHESIM, NUK QIRAJOMË dhe NUK NDAJMË të dhëna personale me palë të treta për qëllime marketingu të jashtëm. Asnjë data broker, asnjë reklamues i jashtëm.
Cookies ndahen sipas faqes që po vizitoni: Faqet publike (menuja QR, checkout) përdorin VETËM cookies të domosdoshëm (session, CSRF, cart) — ligjërisht s'kërkohet konsent (GDPR Art 5(3) + ePrivacy). Dashboard-i i biznesit (manager, staff, admin) mund të përdorë edhe Analytics + Marketing cookies — vetëm me konsentin tuaj eksplicit përmes banner-it.
Ne përdorim 3 kategori cookies, secila e ndarë sipas modelit EU-compliant 3-kategori:
• Essential (gjithmonë aktive, nuk mund të çaktivizohen): cookies sesioni për login, token CSRF për mbrojtje nga sulmet, dhe trust device cookies (90 ditë, sipas Sprint 2C) për të kursyer verifikimin 2FA në pajisje të besuara.
• Analytics (opsionale, kërkojnë konsent): statistika anonime për përdorimin e platformës. Aktualisht NUK ka asnjë skript analytics aktiv — rezervuar për përdorim të ardhshëm.
• Marketing (opsionale, kërkojnë konsent): retargeting pixels (Facebook, Google Ads). Aktualisht jo aktive — rezervuar për përdorim të ardhshëm.
Vendimi juaj për cookies ruhet në localStorage për 1 vit. Mund ta ndryshoni në çdo kohë përmes butonit "Ndrysho cilësimet e cookies" në fundin e faqes.
Periudhat e mbajtjes janë vendosur sipas qëllimit dhe detyrimeve ligjore:
• Llogaria juaj: e mbajtur derisa të kërkoni fshirjen. Pas kërkesës: 30-ditë periudhë grace për rikuperim (mund të ndaloni me email link); pastaj anonimizim përfundimtar (email zëvendësohet me deleted-{hash}@deleted.local, emri me "Deleted User", password fshihet).
• Faturat dhe regjistrat fiskalë: 10 vjet, sipas Ligjit nr. 9920/2008 "Për procedurat tatimore". Edhe pas anonimizimit të llogarisë, kolonat e identifikueshme (customer_email, etj.) zëvendësohen me NULL — rreshtat mbeten për përmbushje ligjore.
• Audit logs (activity_logs): 180 ditë me të dhëna të plota; pas kësaj, anonimizim automatik in-place — IP truncated te /16, user-agent bucketed (Chrome/Safari/etc.), payload-i sensitive (email/phone/password/token) hiqet nga details_json. Forensic trail (timestamp + akcion + entity_id) ruhet pafundësisht.
• Cookies: 90 ditë (trust device), 1 vit (vendimi i consent), 30 minuta (session).
• Backups: 30 ditë rotative.
Si subjekt i të dhënave personale, GDPR dhe Ligji 9887/2008 ju japin këto të drejta:
• E drejta e aksesit (Art. 15): shkarkoni një kopje JSON të të gjitha të dhënave tuaja përmes /manager/settings-pages/data-export. Përgjigje e menjëhershme, jo më shumë se 1 export në 24 orë.
• E drejta e rektifikimit (Art. 16): korrigjoni të dhënat e pasakta përmes /manager/profile.
• E drejta e fshirjes / "harruar" (Art. 17): kërkoni fshirjen e llogarisë përmes /manager/settings-pages/account-deletion. Periudhë grace 30 ditë me email link rikuperimi.
• E drejta e kufizimit të përpunimit (Art. 18): kontaktoni info@access.al për kërkesa specifike.
• E drejta e portabilitetit (Art. 20): merrni të dhënat tuaja në format JSON (i njëjti endpoint si akses).
• E drejta e kundërshtimit (Art. 21): kundërshtoni marketingun përmes banner-it të cookies; për përpunime të tjera kontaktoni emailin.
• E drejta për të mos iu nënshtruar vendimeve automatike (Art. 22): NUK përdorim profiling ose vendimmarrje automatike me efekt ligjor.
Disa nga ofruesit tanë kanë selinë jashtë EU/EEA. Për këto transferime, përdorim mekanizmat e mëposhtëm të mbrojtjes së GDPR Chapter V:
• Stripe Inc. (SHBA): EU Standard Contractual Clauses (SCC 2021/914) + Stripe Privacy Shield Framework.
• Google LLC (SHBA, për OAuth opsional): EU SCC + Google Cloud Privacy Framework.
• Hostinger (Qipro), DeepL (Gjermani): brenda EU/EEA — pa nevojë për mekanizëm shtesë (EU adequacy automatic).
Të gjitha transferimet janë dokumentuar dhe verifikuar sipas Schrems II requirements.
Ne implementojmë masa teknike dhe organizative sipas GDPR Art. 32:
• Të dhënat në transit: TLS 1.2+ ekskluzivisht (forced HTTPS via .htaccess).
• Password-et: bcrypt me cost 10 (PASSWORD_BCRYPT). 2FA disponueshme për llogari owner.
• Trusted devices (Sprint 2C): SHA-256 token hash në DB; raw token vetëm në cookie HttpOnly+Secure; sliding window 90 ditë.
• Akses i kufizuar: personeli ynë ka qasje "need-to-know"; çdo veprim audit i regjistruar.
• Audit i rregullt: kontrolle të brendshme sigurie + penetration testing periodik.
• Njoftimi i shkeljes (Art. 33): nëse ndodh një incident sigurie që përfshin të dhënat tuaja, autoritetet do njoftohen brenda 72 orësh; ju do njoftoheni nëse rreziku është i lartë.
Përgjegjësi i Mbrojtjes së të Dhënave (DPO / Data Protection Officer): info@access.al
Telefon: +355 68 200 3737
Adresa postale: Ali Demi, Tiranë, Shqipëri.
Përgjigje brenda 30 ditësh sipas GDPR Art. 12.3.
Nëse nuk jeni të kënaqur me përgjigjen tonë, keni të drejtë të paraqisni ankesë te autoriteti mbikëqyrës: Komisioneri për Mbrojtjen e të Dhënave Personale (KMDP), Tiranë, Shqipëri. Web: kmdp.al