PRIVACY NOTICE ON THE PROCESSING OF PERSONAL DATA OF IMAA ALBANIA’S SUPPLIERS AND CONSULTANTS

Under Law n. 9887 “On the protection of personal data”  and subsequent amendments (hereinafter, the “Law”), we wish to inform our partners, suppliers of goods and services, and consultants entrusted with tasks, including professional ones, and  their legal representatives, referents, employees, associates or subjects acting on their behalf and whose personal data are processed in the context of contractual relations with them or with the organizations to which they belong (the “Data Subjects”), that their data will be processed lawfully, correctly and transparently, in the following terms and for the following  purposes.

DATA CONTROLLER

The Data Controller is IMAA Albania Foundation, having its registered office Rr. Brigada 8, Shk. 2, K.3, Ap.7, Tirane. The Data Controller can be contacted at the email address info@talentslink.org.  

DATA PROTECTION CONTACT PERSON

The Data Controller appointed a Data Protection Contact Person (“DPCP”) who can be contacted at the following email address: info@talentslink.org

SOURCE AND CATEGORIES OF PERSONAL DATA PROCESSED

The personal data to be processed by the Data Controller are  acquired at the time of the conclusion of the contract with Data  Subject and / or during the business relation directly by the Data  Controller and/or by third parties specifically appointed for this  purpose, directly from the Data Subjects (e.g., as part of the  accreditation process of the supplier or use of devices or tools  made available by the Data Controller for the purpose of providing  the contractual service), and/or with third parties (e.g., in the event  of the reporting of illegal conduct, external databases consulted for  anti-money laundering purposes, or registration in professional  registers, chambers of commerce or other accessible public  sources, such as paper or digital newspapers), also through the  remote communication techniques used by the Data Controller  (e.g. websites, etc.).

PURPOSE AND LEGAL BASIS OF THE PROCESSING

The Data Controller processes data subjects’ personal data in compliance with regulatory and contractual obligations, also with regard to administrative, tax and accounting aspects.  Particularly, personal data are processed within the relationship in establishment or established for the following purposes and by virtue of the legal bases specified below:

  1. Performance of a contract concluded with the data subject or of pre-contractual measures adopted at his request (Article 6, paragraph 1, letter b) of the Law), as well as other  activities connected and instrumental to the execution and  management of the relationship, such as such as  management of the contractual relationship, including the  management of the preliminary activities prior to the  conclusion of the contract and the subsequent management  and execution of the same, including any verification activities  in relation to the performance of the service and the  management of payments;
  2. Fulfillment of legal obligations, as well as orders / provisions of public authorities and / or supervisory bodies (Article 6, paragraph 1, letter c) of the Law), such as:
  3. a) compliance with anti-money laundering obligations where applicable;
  4. b) discharge of obligations towards the social security and welfare institutions, in the case of a professional assignment stipulated by the Data Controller directly with the individual professional;
  5. c) compliance with accounting and tax obligations in the event of contractual relationship with the individual consultant;
  6. d) Compliance with rules on health and safety at work. Pursuit of the legitimate interest of the Data Controller (Article 6, paragraph 1, letter dh) of the Law) concerning: a) management of preliminary reputational checks at the establishing of the contractual relationship;
  7. b) exercise or our right’s defence extrajudicial or judicial, including administrative or in arbitration and conciliation procedures in cases provided for by laws, Community legislation, regulations or collective agreements;
  8. c) Compliance of obligations arising from insurance contracts aimed at hedging risks related to the employer’s responsibility for health and safety at work or for damage caused to third parties in the course of work or occupation;
  9. d) compliance with the “whistleblowing” obligations, aimed at allowing the reporting of facts or behaviors that may constitute a violation of the rules governing the activity of the Data Controller or connected or instrumental to it;

e) protection of data security, reliability of IT systems and connection networks and, more generally, of the company assets, through the control of company equipment (including computer equipment) assigned to  the data subject(such as the Internet, e-mail, badge,  etc.), also through the control of physical and logical  access.

CATEGORIES OF DATA PROCESSED

To pursue the above purposes, the following categories of personal data will be processed: (i) personal data and contact detail (e.g. name, surname, tax code and VAT number, professional address and professional telephone number); (ii) data relating to the  management of the employment relationship (e.g. company  position held); payment data (e.g. IBAN); where necessary to fulfill  any legal obligations borne by the Data Controller and applicable  depending on the type of service rendered; (iii) access and  identification data (username and password used for access to IMAA systems) and (iv) system logs, navigation data and geolocation  data of any device that the Data Controller should make available  to the Data subject Parties for the purpose of carrying out the tasks  entrusted, either through devices or tools made available by the  Data Controller or through devices supplied to the Data subject  Parties by its organization); (v) data relating to  identification/recognition documents (e.g. identity card number  for access to the premises of the Data Controller or for the  management of due diligence obligations); (vi) Any imagery (e.g.  photographs for any temporary badges for access to the premises). Any personal data falling into the category of (vii) special  categories of data which reveal the state of health may be  collected and processed by the Data Controller for the sole purpose  of managing any accidents that have occurred against the data  subject parties at the offices of the Data Controller for the purpose  of managing the obligations related to hygiene and safety in the  workplace. These particular categories of data are processed  exclusively by personnel who need them for the task performed.

The Data Controller may also collect and process (viii) data relating  to criminal convictions and offences or related security or  prevention measures only in cases where this is necessary for the  purpose of fulfilling legal obligations (e.g. anti-money laundering  legislation) to which the Data Controller is subject.

PROCESSING METHODS

The processing of personal data takes place using manual,  automated and telematics tools, with logic strictly related to the  above purposes and, in any case, in compliance with guarantees  and necessary measures prescribed by the applicable legislation  and aimed at ensuring the confidentiality, integrity and availability  of personal data, as well as avoiding damage either material or  immaterial (e.g. loss of control of personal data or limitation of  rights, discrimination, theft or usurpation of identity, financial loss,  unauthorized decryption of pseudonymisation, damage to  reputation, loss of confidentiality of personal data protected by  professional secrecy or any other significant economic or social  damage).

The Data Controller do not process personal data based on  automated decision-making processes that produce legal effects or  significantly affect the data subject, including profiling.

POSSIBLE CONTROLS ON DEVICES

The Data Controller wishes to inform that they can be carried out  Controls according to the methods indicated below on the personal  data of the data subject collected through the use by them of the

company devices that may be assigned or also made available by  the Data Controller for professional service. 

These processing, carried out for the purposes indicated above,  may occasionally constitute an indirect monitoring of the  consultant’s professional activity by the Data Controller and may  be used for the purpose of protecting the company’s assets, and  the security of the data and systems of the Data Controller on  which the supplier is called to operate for the execution of the  professional service, especially:

  1. Network (Internet and e-mail) – in case of assignment of an user account and / or a temporary company mailbox for external consultants: Information systems of the  Data Controller are set up in order to record in special  log files and, where expected, filter content, the  navigation data of users and the metadata of email  traffic, as well as the level of update and configuration of  the devices that access the corporate network in terms  of operating system and installed software. These data  are accessed by the organizational units responsible for  the protection of it security and privacy and the  management of information systems, including  personnel appointed as system administrator, in the  event of a request by a Supervisory Authority or receipt  of even automatic alerts constituting a malicious event.
  2. Badges – in case of assignment of a temporary badge to the external consultant: is a tool that the Data Controller adopts to allow access to the premises and record the  relative presence of the subjects previously authorized  to access, who are required to use it according to the  procedures provided for in relation to the performance  of their professional activities at the offices of the Data  Controller through the appropriate readers located  there.

3. PCs, laptops and tablets – in case of assignment of a  temporary device to the external consultant: the  information systems of the Data Controller are set up in  order to record in special log files and, where required,  filter content, the information referring to the navigation  data of users, to the activities carried out by them  through executables, to the level of updating and  configuration of the operating system and installed  software and to the metadata of email traffic. These data  can be accessed by the organizational units responsible  for the protection of it security and privacy and the  management of information systems, including  personnel appointed as system administrator, in the  event of a request by a Supervisory Authority or receipt  of even automatic alerts constituting a malicious event.

COMMUNICATION AND DISSEMINATION

To pursue the above purposes, the Data Controller reserves the  right to communicate personal data: 

  • other companies of the group to which the Data Controller belongs or its parents, subsidiaries or associates (based also abroad), in the context of the existing intercompany  agreements for the management of the activities referred to  in the aforementioned purposes; 
  • control authorities and, in general, public or private subjects (e.g.: Customs and Monopolies Agency, UIF, Revenue Agency, judicial authority, public security authorities), only to the  extent that the conditions established by the applicable  legislation are met;
  • companies that compare the data provided by the data subject with those available on public registers, databases, lists or documents in order to verify their veracity, also in  compliance with the obligations imposed by anti-money  laundering law; 
  • subjects who perform insurance services, for the purpose of covering any risks deriving from the work of the supplier or consultant;
  • subjects that perform banking and financial services; • subjects that manage safety at work and the environment; • subjects that carry out access control activities to the data  controller’s buildings; 
  • subjects that carry out data acquisition, processing, processing and storage services;
  • subjects that provide services for the management and hosting of the information system of the Data Controller; • subjects that carry out printing, bagting, transmission,  transport and sorting of communications; 
  • subjects that carry out documentation archiving and data entry activities;
  • subjects that carry out assistance activities to the data subjects;
  • professional firms that carry out assistance and consultancy (e.g. accounting firms, law firms, etc.);
  • subjects that carry out control, audit and certification of the activities carried out by the Data Controller;
  • subjects that carry out assistance and communication consultancy activities;
  • subjects that carry out control, audit and certification of the activities carried out by the Customer;
  • national and/or Community bodies financing or grants; • subjects who in various ways can succeed the Data Controller in the ownership of legal relationships (e.g., assignees of  goods, credits or contracts).

The subjects listed above operate independently as Data  controllers or as Data Processor on the basis of specific legal act  compliant with art. 28, paragraph 3, of Regulation. The updated list  of data processors is available by submitting a request to  dataprotectionalb@sisal.al.

Personal data may also be known by the staff in relation to the  performance of the tasks assigned. 

Personal data will not be disseminated and, therefore, will not be  brought to the attention of indeterminate subjects, in any form.

DATA TRANSFER OUTSIDE ALBANIA

Personal Data may be transferred to parties based in countries  outside Albania which cooperate with the Data Controller to  achieve the above purposes. Data transfer will take place only  against the existence of international agreements or adequacy  decisions by the Information and Data Protection Commissioner in  Albania (art. 8 of the Law). A copy (or an extract) of the guarantees  adopted for the transfer as well as the list of third countries /  international organizations to which the personal data have been  transferred, may be requested at the e-mail address info@talentslink.org.

DATA RETENTION

The personal data of the data subject parties will be kept for the  time necessary to carry out the existing relationships between the  parties and for the fulfillment of the related obligations, and in any  case according to the terms applicable by law on social security  matters, as well as those prescriptions provided for the exercise of  the rights deriving from the employment relationship even after its  definitive termination, especially:

  • for the purposes related to the execution of the contract, the Data Controller will keep the personal data of the data subject for 10 years from the end of the contract;
  • for the fulfillment of legal obligations and orders / provisions of authorities and / or supervisory bodies, the Data Controller will keep the personal data until exhaustion the Legal  obligation or the order/disposition of the supervisory authority  and/or body;
  • for the pursuit of legitimate interests, the Data Controller will keep the personal data until exhaustion of the legitimate interest, taking into account the balance with the rights  of data subject.

Once these terms have elapsed, the Data Controller will provide for  the data deletion of data subjects or to their transformation into  anonymous form.

DATA SUBJECTS RIGHTS

The rights referred to in Articles from 15 to 17 of the Law are  guaranteed. In particular, the Data Subject can obtain: a)  confirmation of the existence of personal data processing  concerning him and, in this case, access to such data; b) the

correction of inaccurate personal data and the integration of  incomplete personal data; c) the deletion of personal data  concerning him, in cases where this is permitted by the Law; d) the  limitation of processing, in the cases provided for by the Law; e) the  communication, to the recipients to whom the personal data have  been transmitted, of requests for rectification / cancellation of  personal data and for the limitation of processing received by the  Data Subject, unless this proves impossible or involves a  disproportionate effort. The Data Subject also has the right to  object at any time, for legitimate reasons, to the processing of  personal data concerning him, even if pertinent to the purpose of  the collection, without prejudice to the case in which the Data  Controller demonstrates the presence of overriding legitimate  reasons or the exercise or defense of a right pursuant to art. 6 of  the Law. The Data Subject also has the right not to be subjected to  a decision based solely on automated processing, including  profiling, which produces legal effects concerning him or which  significantly affects his person in a similar way, unless this decision:  a) is necessary for the conclusion or execution of a contract  between the interested party and the Data Controller; b) is  authorized by the Law; c) is based on the explicit consent of the  interested party. In the cases referred to in the aforementioned  letters a) and c), the Data Subject has the right to obtain human  intervention from the Data Controller, to express their opinion and  to contest the decision. The Data Subject may submit requests to  the address info@talentslink.org. indicating in the subject  “Privacy – exercise of privacy rights”, detailing which right he  intends to exercise and providing the Data Controller with the  information needed to identify him pursuant to articles 11 and 12  of the Regulation. The Data Subject also has the right to lodge a  complaint with the supervisory authority, in particular in the State  in which he habitually resides, works or in the place where the  alleged violation for which the complaint is submitted has occurred  (e.g., the Information and Data Protection Commissioner in Albania  – www.idp.al), as required by art. 16 of the Law, as well as to take  the appropriate judicial offices pursuant to art. 16 of the Law.

NATURE AND MANDATORY OBLIGATION OF THE COMMUNICATION OF PERSONAL DATA

The provision of personal data is mandatory to pursue the above  purposes, and, failing that, will not be possible for the Data  Controller to establish any contractual relationship or perform  correctly the obligations and commitments arising therefrom. 

The processing for the purposes referred to in point 3) of the  paragraph “Purpose and legal basis of the processing” is not  mandatory and the Data Subject may oppose this processing in the  manner indicated in the paragraph “Data Subjects rights” of this  document, and if the Data Subject objects to said processing the  data cannot be used for this purpose, except in the case in which  the Data Controller demonstrates the presence of overriding  legitimate reasons or the exercise or defence of a right pursuant to  art. 6 of the Law.

UPDATE OF THE PRIVACY POLICY

The Data Controller reserves the right to periodically update the  content of this page. The Data Subject is therefore invited to  periodically consult the information contained herein so as to stay  updated with respect to any changes that have occurred since the  last consultation.

NJOFTIM PËR PRIVATËSINË MBI PËRPUNIMIN E TË DHËNAVE PERSONALE TË FURNIZUESVE DHE KËNSULTANËVE TË IMAA ALBANIA

Në bazë të ligjit nr. 9887 “Për mbrojtjen e të dhënave personale”  dhe ndryshimet e mëtejshme (në tekstin e vijuar “Ligji”),  dëshirojmë të informojmë partnerët tanë, furnizuesit e mallrave  dhe shërbimeve dhe konsulentët të cilëve u janë besuar detyrat,  duke përfshirë ata profesionistë, dhe përfaqësuesit e tyre ligjorë,  referentët, punonjësit, bashkëpunëtorët ose subjektet që veprojnë  në emër të tyre dhe në kontekstin e të cilave ata i përkasin të  dhënat e tyre personale ose në kontekstin e të dhënave të procesit  të tyre (“Subjektet e të dhënave personale”), se të dhënat e tyre  personale do të përpunohen në mënyrë të ligjshme, korrekte dhe  transparente, në termat e mëposhtëm dhe për qëllimet e  mëposhtme.

KONTROLLUESI I TË DHËNAVE

Kontrolluesi i të Dhënave është IMAA Albania foundation, me seli në Rr. Brigada 8, Shk. 2, K.3, Ap.7, Tirane.  Kontrolluesi i të Dhënave mund të kontaktohet në adresën e emailit info@talentslink.org.

PERSONI I KONTAKTI PER MBROJTEN E TË DHËNAVE

Kontrolluesi i të dhënave ka caktuar një person kontaktues për mbrojtjen e të dhënave (“DPCP”) i cili mund të kontaktohet në adresën e mëposhtme të emailit: info@talentslink.org.

BURIMI DHE KATEGORITË E TË DHËNAVE PERSONALE TË PËRPUNUARA

Baza ligjore e përpunimimeve është interesi legjitim i Kontrolluesit, duke marrë parasysh balancën e të drejtave të Kontrolluesit dhe subjektit të të dhënave personale. Të dhënat personale që do të  përpunohen nga Kontrolluesi i të Dhënave merren në momentin e  lidhjes së kontratës me Subjektin e të Dhënave dhe/ose gjatë  marrëdhënies së biznesit drejtpërdrejt nga Kontrolluesi i të  Dhënave dhe/ose nga palë të treta të emëruara posaçërisht për  këtë qëllim, drejtpërdrejt nga Subjektet e të Dhënave (p.sh., si  pjesë e procesit të akreditimit të furnizuesit ose përdorimit të  pajisjeve ose mjeteve të vëna në dispozicion nga  Kontrolluesi/raporti i kontratës me qëllim të tretë), dhe/ose me  palët e treta (p.sh., në rast të raportimit të sjelljes së paligjshme,  bazave të të dhënave të jashtme të konsultuara për qëllime kundër  pastrimit të parave, ose regjistrimit në regjistrat profesionistë,  dhomat e tregtisë ose burime të tjera publike të aksesueshme, si  gazetat në letër ose dixhitale), gjithashtu nëpërmjet teknikave të  komunikimit në distancë të përdorur nga Kontrolluesi i të Dhënave  (p.sh. faqet e internetit, etj.).

QËLLIMI DHE BAZA LIGJORE E PËRPUNIMIT

Kontrolluesi i të Dhënave përpunon të dhënat personale të subjekteve të të dhënave në përputhje me detyrimet rregullatore dhe kontraktuale, gjithashtu në lidhje me aspektet administrative, tatimore dhe kontabël.

Në veçanti, të dhënat personale përpunohen brenda marrëdhënies në themelim ose të krijuar për qëllimet e mëposhtme dhe në bazë të bazave ligjore të specifikuara më poshtë:

  1. Kryerja e një kontrate të lidhur me subjektin e të dhënave ose të masave parakontraktore të miratuara me kërkesë të tij (Neni 6, paragrafi 1, germa b) i Ligjit), si dhe aktivitete të tjera të lidhura dhe instrumentale me ekzekutimin dhe menaxhimin e marrëdhënies, si mund te jet p.sh. menaxhimi i marrëdhënies kontraktuale, duke përfshirë menaxhimin e aktiviteteve paraprake dhe nën ekzekutimin e çdo veprimtarie para përfundimit të kontratës, duke përfshirë edhe nënekzekutimin e kontratës. kryerjen e shërbimit dhe menaxhimin e pagesave;
  2. Përmbushja e detyrimeve ligjore, si dhe urdhrave/dispozitave të autoriteteve publike dhe/ose organeve mbikëqyrëse (Neni 6, paragrafi 1, germa c) i Ligjit), si p.sh:
  3. a) pajtueshmërinë me detyrimet kundër pastrimit të parave aty ku është e aplikueshme;
  4. b) përmbushjen e detyrimeve ndaj institucioneve të sigurimeve shoqërore dhe të mirëqenies, në rastin e një detyre profesionale të përcaktuar nga Kontrolluesi i të Dhënave drejtpërdrejt me profesionistin individual;
  5. c) respektimin e detyrimeve kontabël dhe tatimore në rast të marrëdhënieve kontraktuale me konsulentin individual;
  6. d) respektimin e rregullave për shëndetin dhe sigurinë në punë
  7. Ndjekja e interesit legjitim të Kontrolluesit të të Dhënave (Neni 6, paragrafi 1, germa dh) i Ligjit) lidhur me:
  8. a) menaxhimin e kontrolleve paraprake të reputacionit në krijimin e marrëdhënies kontraktuale;
  9. b) ushtrimin ose mbrojtjen e të drejtës sonë jashtëgjyqësore ose gjyqësore, duke përfshirë procedurat administrative ose në arbitrazh dhe pajtim në rastet e parashikuara nga ligjet, legjislacioni komunitar, rregulloret ose marrëveshjet kolektive;
  10. c) respektimin e detyrimeve që rrjedhin nga kontratat e sigurimit që synojnë mbrojtjen e rreziqeve që lidhen me përgjegjësinë e punëdhënësit për shëndetin dhe sigurinë në punë ose për dëmet e shkaktuara palëve të treta gjatë punës ose profesionit;
  11. d) respektimin e detyrimeve të “whistelblowing”, që synojnë lejimin e raportimit të fakteve ose sjelljeve që mund të përbëjnë shkelje të rregullave që rregullojnë veprimtarinë e Kontrolluesit të të Dhënave ose të lidhura ose instrumentale me të;
  12. e) mbrojtjen e sigurisë së të dhënave, besueshmërinë e sistemeve të IT dhe rrjeteve të lidhjes dhe, në përgjithësi, të aseteve të kompanisë, nëpërmjet kontrollit të pajisjeve të kompanisë (përfshirë pajisjet kompjuterike) që i janë caktuar subjektit të të dhënave (si interneti, posta elektronike, badge, etj.

KATEGORITË E TË DHËNAVE TË PËRPUNUARA

Për të arritur qëllimet e mësipërme, do të përpunohen kategoritë e mëposhtme të të dhënave personale: (i) të dhënat personale dhe detajet e kontaktit (p.sh. emri, mbiemri, kodi tatimor dhe numri i TVSH-së, adresa profesionale dhe numri i telefonit profesional); (ii)

të dhënat në lidhje me menaxhimin e marrëdhënies së punës (p.sh. pozicioni i mbajtur në kompani); të dhënat e pagesës (p.sh.  Llogarija bankare); kur është e nevojshme për të përmbushur çdo  detyrim ligjor të ngarkuar nga Kontrolluesi i të Dhënave dhe i  zbatueshëm në varësi të llojit të shërbimit të ofruar; (iii) të dhënat  e aksesit dhe identifikimit (emri i përdoruesit dhe fjalëkalimi i  përdorur për aksesin në sistemet e IMAA) dhe (iv) regjistrimet në  sistemet, të dhënat e navigimit dhe të dhënat e vendndodhjes së  çdo pajisjeje që kontrolluesi i të dhënave duhet t’i vërë në  dispozicion Palëve të subjekteve të të dhënave për qëllimin e  kryerjes së detyrave të besuara, qoftë nëpërmjet pajisjeve ose  mjeteve të vëna në dispozicion nga Kontrolluesi i të Dhënave ose  nëpërmjet pajisjeve të ofruara nga subjektet e tij të të dhënave);  (v) të dhënat në lidhje me dokumentet e identifikimit/njohjes (p.sh. numri i kartës së identitetit për akses në ambientet e  Kontrolluesit të të Dhënave ose për menaxhimin e kontrolleve  paraprake të reputacionit qe jane te detyryeshme); (vi) Çdo imazh (p.sh. fotografi për distinktiva të përkohshëm për të lëvizur në  ambiente).

Çdo e dhënë personale që hyn në kategorinë e (vii) kategorive të  veçanta të të dhënave që zbulojnë gjendjen shëndetësore mund  të mblidhet dhe përpunohet nga Kontrolluesi i të Dhënave me  qëllimin e vetëm të menaxhimit të çdo aksidenti që ka ndodhur  ndaj palëve të të dhënave në zyrat e Kontrolluesit të të Dhënave  për qëllime të menaxhimit të detyrimeve që lidhen me higjienën  dhe sigurinë në vendin e punës. Këto kategori të veçanta të  dhënash përpunohen ekskluzivisht nga personeli që ka nevojë për  to për detyrën e kryer.

Kontrolluesi i të Dhënave mund të mbledhë dhe përpunojë  gjithashtu (viii) të dhëna në lidhje me dënimet dhe veprat penale  ose masat e lidhura me sigurinë ose parandalimin vetëm në rastet  kur kjo është e nevojshme për qëllimin e përmbushjes së  detyrimeve ligjore (p.sh. legjislacioni kundër pastrimit të parave) të  cilave i nënshtrohet Kontrolluesi i të Dhënave.

METODAT E PËRPUNIMIT

Përpunimi i të dhënave personale bëhet duke përdorur mjete  manuale, të automatizuara dhe telematike, me logjikë të lidhur  rreptësisht me qëllimet e mësipërme dhe, në çdo rast, në përputhje  me garancitë dhe masat e nevojshme të përcaktuara nga  legjislacioni në fuqi dhe që synojnë sigurimin e konfidencialitetit,  integritetit dhe disponueshmërisë së të dhënave personale, si dhe  shmangien e dëmtimit, humbjes materiale ose jomateriale (p.sh.  humbja e kontrollit të të dhënave personale ose kufizimi i të  drejtave, diskriminimi, vjedhja ose uzurpimi i identitetit, humbje  financiare, deshifrimi i paautorizuar i pseudonimizimit, dëmtimi i  reputacionit, humbja e konfidencialitetit të të dhënave personale  të mbrojtura nga sekreti profesional ose çdo dëm tjetër i  rëndësishëm ekonomik ose social).

Kontrolluesi i të Dhënave nuk përpunon të dhënat personale  bazuar në proceset e automatizuara të vendimmarrjes që  prodhojnë efekte ligjore ose ndikojnë ndjeshëm Subjektin e të  dhënave, duke përfshirë profilizimin.

KONTROLLET E MUNDSHME NË PAJISJE

Kontrolluesi i të Dhënave dëshiron të informojë se ato mund të  kryhejn Kontrolle sipas metodave të treguara më poshtë mbi të  dhënat personale të Subjektit të të dhënave të mbledhura  nëpërmjet përdorimit prej tyre të pajisjeve të kompanisë që mund

të caktohen ose gjithashtu të vihen në dispozicion nga Kontrolluesi  i të Dhënave për shërbim profesional.

Ky përpunim, i kryer për qëllimet e treguara më sipër, mund të  përbëjë herë pas here një monitorim indirekt të veprimtarisë  profesionale të konsulentit nga Kontrolluesi i të Dhënave dhe mund  të përdoret për qëllimin e mbrojtjes së aseteve të kompanisë dhe  sigurinë e të dhënave dhe sistemeve të Kontrolluesit të të Dhënave,  mbi të cilat furnizuesi është thirrur të operojë për ekzekutimin e  shërbimit professional, veçanërisht:

  1. Rrjeti (Interneti dhe e-mail) – në rast të caktimit të një llogarie përdoruesi dhe/ose të një kutie postare të përkohshme kompanie për konsulentë të jashtëm:  Sistemet e informacionit të Kontrolluesit të të Dhënave  krijohen për të regjistruar në skedarë të posaçëm  regjistri dhe, aty ku pritet, filtrojnë përmbajtjen, të  dhënat e navigimit të përdoruesve dhe metadatat të  trafikut të postës elektronike, si dhe nivelin e  përditësimit dhe konfigurimit të pajisjeve të rrjetit në  kushtet e operimit dhe instalimit të softuerit të sistemit  të korporatës. Këto të dhëna aksesohen nga njësitë  organizative përgjegjëse për mbrojtjen e sigurisë dhe  privatësisë së tyre dhe menaxhimin e sistemeve të  informacionit, duke përfshirë personelin e caktuar si  administrator i sistemit, në rast të një kërkese nga një  Autoritet Mbikëqyrës ose marrjes së sinjalizimeve edhe  automatike që përbëjnë një ngjarje keqdashëse. 
  2. Distinktivët – në rast të caktimit të një distinktivi të përkohshëm për konsulentin e jashtëm: është një mjet që Kontrolluesi i të Dhënave miraton për të lejuar hyrjen  në ambiente dhe për të regjistruar praninë relative të  subjekteve të autorizuara më parë për akses, të cilëve u  kërkohet ta përdorin atë sipas procedurave të  parashikuara në lidhje me kryerjen e veprimtarive të tyre  profesionale në zyrat e Kontrolluesit të të Dhënave që  ndodhen aty, nëpërmjet leximit përkatës.

3. PC, laptopë dhe tableta – në rast të caktimit të një  pajisjeje të përkohshme nga konsulenti i jashtëm:  sistemet e informacionit të Kontrolluesit të të Dhënave  janë ngritur për të regjistruar në skedarë të posaçëm  regjistri dhe, ku kërkohet, filtrojnë përmbajtjen,  informacionin që i referohet të dhënave të navigimit të  përdoruesve, aktiviteteve të kryera prej tyre nëpërmjet  ekzekutuesve, deri në nivelin e përditësimit dhe  konfigurimit të sistemit operativ dhe instalimit të  softuerit të trafikut. Këto të dhëna mund të aksesohen  nga njësitë organizative përgjegjëse për mbrojtjen e  sigurisë dhe privatësisë së tyre dhe menaxhimin e  sistemeve të informacionit, duke përfshirë personelin e  caktuar si administrator të sistemit, në rast të një  kërkese nga Autoriteti Mbikëqyrës ose marrjes së  sinjalizimeve edhe automatike që përbëjnë një ngjarje  keqdashëse.

KOMUNIKIMI DHE SHPËRNDARJA

Për të ndjekur qëllimet e mësipërme, Kontrolluesi i të Dhënave  rezervon të drejtën për të komunikuar të dhënat personale: • kompani të tjera të grupit të cilit i përket Kontrolluesi i të  Dhënave ose filialeve ose bashkëpunëtorëve të tij (me  bazë edhe jashtë vendit), në kuadër të marrëveshjeve  ekzistuese ndërshoqërore për menaxhimin e  aktiviteteve të përmendura në qëllimet e  sipërpërmendura;

  • autoritetet e kontrollit dhe, në përgjithësi, subjektet publike ose private (p.sh.: Agjencia e Doganave dhe Monopoleve, UIF, Agjencia e të Ardhurave, autoriteti  gjyqësor, autoritetet e sigurisë publike), vetëm në masën  që plotësohen kushtet e përcaktuara nga legjislacioni në  fuqi;
  • shoqëritë që krahasojnë të dhënat e dhëna nga subjekti i të dhënave me ato të disponueshme në regjistrat publikë, bazat e të dhënave, listat ose dokumentet për  të verifikuar vërtetësinë e tyre, edhe në përputhje me  detyrimet e vendosura nga ligji kundër pastrimit të  parave;
  • subjektet që kryejnë shërbime sigurimi, me qëllim mbulimin e çdo rreziku që rrjedh nga puna e furnizuesit ose konsulentit; 
  • subjektet që kryejnë shërbime bankare dhe financiare; • subjektet që menaxhojnë sigurinë në punë dhe mjedisin; • subjektet që kryejnë aktivitete të kontrollit të aksesit në ndërtesat e kontrolluesit të të dhënave;
  • subjektet që kryejnë shërbime për marrjen, përpunimin, përpunimin dhe ruajtjen e të dhënave;
  • subjektet që ofrojnë shërbime për menaxhimin dhe hostimin e sistemit të informacionit të Kontrolluesit të të Dhënave;
  • subjektet që kryejnë shtypjen, ambalazhimin, transmetimin, transportin dhe klasifikimin e komunikimeve;
  • subjektet që kryejnë veprimtari të arkivimit dhe data entry të dokumentave;
  • subjektet që kryejnë veprimtari ndihmëse për subjektet e të dhënave;
  • firmat profesionale që ofrojnë asistencë dhe konsulencë (p.sh. firma kontabiliteti, studio ligjore, etj.);
  • subjektet që kryejnë kontrollin, auditimin dhe certifikimin e veprimtarive të kryera nga Kontrolluesi i të dhënave;
  • subjektet që kryejnë veprimtari konsulence asistence dhe komunikimi;
  • subjektet që kryejnë kontrollin, auditimin dhe certifikimin e veprimtarive të kryera nga Klienti;
  • financime ose grante nga organet kombëtare dhe/ose komunitare;

• subjektet të cilët në mënyra të ndryshme mund të  trashëgojnë Kontrolluesin e të Dhënave në pronësinë e  marrëdhënieve juridike (p.sh., përfituesit e mallrave, kreditë  ose kontratat).

Subjektet e listuara më sipër veprojnë në mënyrë të pavarur si  Kontrollues të të dhënave ose si përpunues të të dhënave në bazë  të një akti ligjor specifik në përputhje me nenin. 28, paragrafi 3, të  Rregullores. Lista e përditësuar e përpunuesve të të dhënave është  e disponueshme duke paraqitur një kërkesë në adresën info@talentslink.org.  .

Të dhënat personale mund të njihen edhe nga personeli në lidhje  me kryerjen e detyrave të caktuara.

Të dhënat personale nuk do të shpërndahen dhe, për rrjedhojë, nuk  do të vihen në vëmendje të subjekteve të papërcaktuara, në asnjë  formë.

TRASFERIMI I TË DHËNAVE JASHTË SHQIPERISË

Të dhënat personale mund t’u transferohen palëve me bazë në  vende jashtë Shqipërisë, të cilat bashkëpunojnë me Kontrolluesin e  të Dhënave për të arritur qëllimet e mësipërme. Transferimi i të  dhënave do të bëhet vetëm kundër ekzistencës së marrëveshjeve  ndërkombëtare ose vendimeve të përshtatshmërisë nga  Komisioneri i Informacionit dhe Mbrojtjes së të Dhënave në  Shqipëri (neni 8 i Ligjit). Një kopje (ose një ekstrakt) e garancive të  miratuara për transferimin si dhe lista e vendeve të  treta/organizatave ndërkombëtare në të cilat janë transferuar të  dhënat personale, mund të kërkohet në adresën e e-mail info@talentslink.org.

RUAJTJA E TË DHËNAVE

Të dhënat personale të palëve të subjektit të të dhënave do të  ruhen për kohën e nevojshme për realizimin e marrëdhënieve  ekzistuese ndërmjet palëve dhe për përmbushjen e detyrimeve të  lidhura me to, dhe në çdo rast sipas kushteve të zbatueshme nga  ligji për çështjet e sigurimeve shoqërore, si dhe ato përshkrime të  parashikuara për ushtrimin e të drejtave që rrjedhin nga  marrëdhënia e punës edhe pas përfundimit të saj përfundimtar, veçanërisht:

  • për qëllimet që lidhen me ekzekutimin e kontratës, Kontrolluesi i të dhënave do të ruajë të dhënat personale të subjektit të të dhënave për 10 vjet nga përfundimi i kontratës;
  • për përmbushjen e detyrimeve ligjore dhe urdhrave/dispozitave të autoriteteve dhe/ose organeve mbikëqyrëse, Kontrolluesi i të Dhënave do të ruajë të dhënat personale deri në shterimin e  detyrimit ligjor ose urdhrit/dispozitës së autoritetit dhe/ose organit  mbikëqyrës;
  • për ndjekjen e interesave legjitime, Kontrolluesi i të Dhënave do të ruajë të dhënat personale deri në shterjen e interesit legjitim, duke marrë parasysh balancën me të drejtat e subjektit të të  dhënave.

Pasi të kenë kaluar këto kushte, Kontrolluesi i të Dhënave do të  sigurojë fshirjen e të dhënave të subjekteve të të dhënave ose  shndërrimin e tyre në formë anonime.

TË DREJTAT E SUBJEKTEVE TË TË DHËNAVE

Të drejtat janë të garantuara nga nenet 15 deri në 17 të Ligjit. Në  veçanti, Subjekti i të dhënave mund të marrë: a) konfirmimin e  ekzistencës së përpunimit të të dhënave personale në lidhje me të  dhe, në këtë rast, akses në këto të dhëna; b) korrigjimin e të dhënave personale të pasakta dhe integrimin e të dhënave  personale jo të plota; c) fshirjen e të dhënave personale në lidhje  me të, në rastet kur kjo lejohet me Ligj; d) kufizimin e përpunimit,  në rastet e parashikuara nga Ligji; e) komunikimin, me marrësit, të  cilëve u janë transmetuar të dhënat personale, të kërkesave për  korrigjimin/anulimin e të dhënave personale dhe për kufizimin e  përpunimit të marrë nga Subjekti i të dhënave, përveç rasteve kur  kjo rezulton e pamundur ose përfshin një përpjekje  joproporcionale. Subjekti i të Dhënave ka gjithashtu të drejtën të  kundërshtojë në çdo kohë, për arsye legjitime, përpunimin e të  dhënave personale në lidhje me të, edhe nëse janë të lidhura me  qëllimin e mbledhjes, pa paragjykuar rastin në të cilin Kontrolluesi  i të Dhënave demonstron praninë e arsyeve legjitime mbizotëruese  ose ushtrimin ose mbrojtjen e një të drejte në përputhje me nenin 6 të Ligjit. Subjekti i të Dhënave ka gjithashtu të drejtën të mos i  nënshtrohet një vendimi të bazuar vetëm në përpunimin e  automatizuar, përfshirë profilizimin, i cili prodhon efekte juridike  në lidhje me të ose që prek ndjeshëm personin e tij në mënyrë të  ngjashme, përveç rastit kur ky vendim: a) është i nevojshëm për  lidhjen ose ekzekutimin e një kontrate ndërmjet palës së interesuar  dhe Kontrolluesit të të Dhënave; b) është i autorizuar me Ligj; c)  bazohet në pëlqimin e shprehur të palës së interesuar. Në rastet e  përmendura në shkronjat e mësipërme a) dhe c), subjekti i të  dhënave ka të drejtë të marrë ndërhyrjen njerëzore nga  Kontrolluesi i të Dhënave, të shprehë mendimin e tij dhe të  kundërshtojë vendimin. Subjekti i të Dhënave mund të paraqesë  kërkesa në adresën info@talentslink.org. duke shkruar ne  subjektin e emailit “Privatësia – ushtrimi i të drejtave të  privatësisë”, duke detajuar se cilën të drejtë synon të ushtrojë dhe  duke i dhënë Kontrolluesit të të dhënave informacionin e  nevojshëm për identifikimin e tij sipas neneve 11 dhe 12 të  Rregullores. Subjekti i të dhënave ka gjithashtu të drejtën të  paraqesë një ankesë pranë autoritetit mbikëqyrës, veçanërisht në  Shtetin ku ai banon, punon ose në vendin ku ka ndodhur shkelja e  supozuar për të cilën është paraqitur ankesa (p.sh. Komisioneri i  Informacionit dhe Mbrojtjes së të Dhënave në Shqipëri – www.idp.al), siç kërkohet nga neni. 16 të Ligjit, si dhe të marrin  funksionet përkatëse gjyqësore në zbatim të nenit. 16 të Ligjit.

NATYRA DHE DETYRIMI I DETYRUAR I KOMUNIKIMIT TË TË DHËNAVE PERSONALE

Dhënia e të dhënave personale është e detyrueshme për të ndjekur  qëllimet e mësipërme dhe, në rast të dështimit, nuk do të jetë e  mundur që Kontrolluesi i të Dhënave të krijojë ndonjë marrëdhënie  kontraktuale ose të kryejë në mënyrë korrekte detyrimet dhe  angazhimet që rrjedhin prej tyre.

Përpunimi për qëllimet e referuara në pikën 3 të paragrafit “Qëllimi  dhe baza ligjore e përpunimit” nuk është i detyrueshëm dhe  Subjekti i të Dhënave mund të kundërshtojë këtë përpunim në  mënyrën e treguar në paragrafin “Të drejtat e subjekteve të të  dhënave” të këtij dokumenti, dhe nëse subjekti i të dhënave  kundërshton përpunimin në fjalë, të dhënat nuk mund të përdoren  për këtë qëllim, përveç në rastet kur shoqëruesi i të dhënave tregon se e drejta e kontrollit tregon praninë e të drejtës. në bazë të nenit.  6 të Ligjit.

AZHURNIMI I POLITIKËS SË PRIVATËSISË

Kontrolluesi i të Dhënave rezervon të drejtën të përditësojë  periodikisht përmbajtjen e kësaj faqeje. Prandaj, subjekti i të  dhënave ftohet të konsultojë periodikisht informacionin e përfshirë  këtu në mënyrë që të qëndrojë i përditësuar në lidhje me çdo  ndryshim që ka ndodhur që nga konsultimi i fundit.