GDPR تعمیل چیک لسٹ – IBM بلاگ

جنرل ڈیٹا پروٹیکشن ریگولیشن (GDPR) یوروپی یونین (EU) کا قانون ہے جو تنظیموں کے جمع کرنے اور استعمال کرنے کے طریقہ کار کو کنٹرول کرتا ہے۔ ذاتی مواد. EU میں کام کرنے والی یا EU کے رہائشیوں کے ڈیٹا کو سنبھالنے والی کسی بھی کمپنی کو GDPR کے تقاضوں پر عمل کرنا چاہیے۔

تاہم، جی ڈی پی آر کی تعمیل ضروری نہیں کہ کوئی سیدھا سیدھا معاملہ ہو۔ قانون کا ایک مجموعہ بیان کرتا ہے۔ ڈیٹا کی رازداری صارفین کے حقوق اور ذاتی ڈیٹا کی پروسیسنگ کے اصولوں کا ایک سلسلہ۔ تنظیموں کو ان حقوق اور اصولوں کو برقرار رکھنا چاہیے، لیکن GDPR ہر کمپنی کے لیے یہ فیصلہ کرنے کے لیے کچھ جگہ چھوڑتا ہے کہ کیسے۔

داؤ بہت زیادہ ہے، اور GDPR عدم تعمیل کے لیے اہم جرمانے عائد کرتا ہے۔ انتہائی سنگین خلاف ورزیوں پر 20,000,000 EUR یا پچھلے سال میں تنظیم کے عالمی سطح پر ہونے والے کاروبار کا 4% جرمانہ ہو سکتا ہے۔ GDPR ریگولیٹرز غیر قانونی ڈیٹا پروسیسنگ سرگرمیوں کو بھی ختم کر سکتے ہیں اور تنظیموں کو تبدیلیاں کرنے پر مجبور کر سکتے ہیں۔

ذیل میں چیک لسٹ بنیادی GDPR ضوابط کا احاطہ کرتی ہے۔ ایک تنظیم ان ضوابط کو کیسے پورا کرتی ہے اس کا انحصار اس کے منفرد حالات پر ہوگا، بشمول اس کے جمع کردہ ڈیٹا کی قسم اور وہ اس ڈیٹا کو کس طرح استعمال کرتی ہے۔

جی ڈی پی آر کی بنیادی باتیں

GDPR یورپی اکنامک ایریا (EEA) میں مقیم کسی بھی تنظیم پر لاگو ہوتا ہے۔ EEA میں یورپی یونین کے تمام 27 رکن ممالک کے علاوہ آئس لینڈ، لیکٹنسٹائن اور ناروے شامل ہیں۔

GDPR EEA سے باہر کی تنظیموں پر بھی لاگو ہوتا ہے اگر:

• کمپنی EEA کے رہائشیوں کو باقاعدگی سے سامان یا خدمات پیش کرتی ہے، چاہے کوئی رقم کا تبادلہ نہ ہو۔
• کمپنی باقاعدگی سے EEA کے رہائشیوں کی سرگرمیوں کی نگرانی کرتی ہے، جیسے ٹریکنگ کوکیز کا استعمال کرتے ہوئے۔
• کمپنی EEA میں مقیم کمپنی کی جانب سے ڈیٹا پر کارروائی کرتی ہے۔

GDPR صرف کاروباری مقاصد کے لیے کسٹمر ڈیٹا کا استعمال کرنے والے کاروباروں پر لاگو نہیں ہوتا ہے۔ یہ تقریباً کسی بھی تنظیم پر لاگو ہوتا ہے جو کسی بھی مقصد کے لیے EEA کے رہائشیوں کے ڈیٹا پر کارروائی کرتی ہے۔ اسکول، ہسپتال اور سرکاری ادارے سبھی GDPR اتھارٹی کے تحت آتے ہیں۔

GDPR سے مستثنیٰ واحد ڈیٹا پروسیسنگ سرگرمیاں قومی سلامتی یا قانون نافذ کرنے والی سرگرمیاں اور ڈیٹا کا خالصتاً ذاتی استعمال ہیں۔

مفید تعریفیں۔

جی ڈی پی آر کچھ مخصوص اصطلاحات استعمال کرتا ہے۔ تعمیل کے تقاضوں کو سمجھنے کے لیے، تنظیموں کو یہ سمجھنا چاہیے کہ اس تناظر میں ان شرائط کا کیا مطلب ہے۔

GDPR وضاحت کرتا ہے۔ ذاتی مواد کسی قابل شناخت انسان سے متعلق کسی بھی معلومات کے طور پر۔ ای میل پتوں سے لے کر سیاسی آراء تک ہر چیز کو ذاتی ڈیٹا کے طور پر شمار کیا جاتا ہے۔

A ڈیٹا کا موضوع وہ انسان ہے جو ڈیٹا کا مالک ہے۔ دوسرا طریقہ بتائیں، یہ وہ شخص ہے جس سے ڈیٹا کا تعلق ہے۔ کہتے ہیں کہ ایک کمپنی ایس ایم ایس کے ذریعے مارکیٹنگ کے پیغامات بھیجنے کے لیے فون نمبر جمع کرتی ہے۔ ان فون نمبرز کے مالکان ڈیٹا کے مضامین ہوں گے۔

جب GDPR سے مراد ڈیٹا کے مضامین ہیں، تو اس کا مطلب ہے ڈیٹا کے مضامین جو EEA میں رہتے ہیں۔ GDPR کے تحت ڈیٹا پرائیویسی کے حقوق حاصل کرنے کے لیے مضامین کو EU کے شہری ہونے کی ضرورت نہیں ہے۔ انہیں صرف EEA کے رہائشی ہونے کی ضرورت ہے۔

A ڈیٹا کنٹرولر کوئی بھی تنظیم، گروپ یا شخص ہے جو ذاتی ڈیٹا حاصل کرتا ہے اور اس کا تعین کرتا ہے کہ اسے کیسے استعمال کیا جاتا ہے۔ پچھلی مثال کی طرف لوٹتے ہوئے، مارکیٹنگ کے مقاصد کے لیے فون نمبر جمع کرنے والی کمپنی ایک کنٹرولر ہوگی۔ 

ڈیٹا پراسیسنگ ڈیٹا کو جمع کرنے، ذخیرہ کرنے یا تجزیہ کرنے سمیت کوئی بھی کارروائی۔ اے ڈیٹا پروسیسر ایسی کوئی بھی تنظیم یا اداکار ہے جو ایسی حرکتیں کرتا ہے۔

ایک کمپنی کنٹرولر اور پروسیسر دونوں ہو سکتی ہے، جیسے کہ ایک کمپنی جو فون نمبر اکٹھا کرتی ہے اور انہیں مارکیٹنگ کے پیغامات بھیجنے کے لیے استعمال کرتی ہے۔ پروسیسرز میں تیسرے فریق بھی شامل ہوتے ہیں جو کنٹرولرز کی جانب سے ڈیٹا پر کارروائی کرتے ہیں، جیسے کلاؤڈ اسٹوریج سروس جو کسی دوسرے کاروبار کے لیے فون نمبر ڈیٹا بیس کی میزبانی کرتی ہے۔

نگران حکام وہ ریگولیٹری ادارے ہیں جو GDPR کی ضروریات کو نافذ کرتے ہیں۔ ہر EEA ملک کی اپنی نگران اتھارٹی ہوتی ہے۔

ڈیٹا سیکیورٹی اور تحفظ کے حل دریافت کریں۔

GDPR تعمیل چیک لسٹ

اعلی سطح پر، ایک تنظیم GDPR کے مطابق ہے اگر:

• ڈیٹا پروسیسنگ کے اصولوں پر عمل پیرا ہے۔
• ڈیٹا مضامین کے حقوق کو برقرار رکھتا ہے۔
• ڈیٹا کی حفاظت کے مناسب اقدامات کا اطلاق ہوتا ہے۔
• ڈیٹا کی منتقلی اور ڈیٹا شیئرنگ کے قوانین کی پیروی کرتا ہے۔

درج ذیل چیک لسٹ ان تقاضوں کو مزید توڑ دیتی ہے۔ ان تقاضوں کو پورا کرنے کے لیے کوئی ادارہ جو عملی اقدامات اٹھاتا ہے اس کا انحصار اس کے مقام، وسائل اور ڈیٹا پروسیسنگ کی سرگرمیوں پر، دیگر عوامل کے علاوہ ہوگا۔

ڈیٹا پروسیسنگ کے اصول

جی ڈی پی آر اصولوں کا ایک سیٹ بناتا ہے جس پر تنظیموں کو ذاتی ڈیٹا پر کارروائی کرتے وقت عمل کرنا چاہیے۔ اصول درج ذیل ہیں۔

تنظیم کے پاس ڈیٹا پر کارروائی کرنے کی قانونی بنیاد ہے۔

GDPR ان حالات کی وضاحت کرتا ہے جن کے تحت کمپنیاں قانونی طور پر ذاتی ڈیٹا پر کارروائی کر سکتی ہیں۔ کسی بھی تنظیم کو کسی بھی ڈیٹا کو جمع کرنے سے پہلے اس کی قانونی بنیاد قائم کرنا اور دستاویز کرنا ضروری ہے۔ تنظیم کو ڈیٹا اکٹھا کرنے کے مقام پر اس بنیاد کو صارفین تک پہنچانا چاہیے۔ یہ حقیقت کے بعد بنیاد کو تبدیل نہیں کر سکتا جب تک کہ اسے ایسا کرنے کے لیے صارف کی رضامندی حاصل نہ ہو۔

ممکنہ حلال بنیادوں میں شامل ہیں:

• تنظیم کو اپنے ڈیٹا پر کارروائی کرنے کے لیے موضوع کی رضامندی حاصل ہے۔ نوٹ کریں کہ صارف کی رضامندی صرف اس صورت میں درست ہے جب یہ باخبر، اثبات اور آزادانہ طور پر دی گئی ہو۔
  • باخبر رضامندی۔ یعنی کمپنی واضح طور پر بتاتی ہے کہ وہ کون سا ڈیٹا اکٹھا کر رہی ہے اور وہ اس ڈیٹا کو کیسے استعمال کرے گی۔
  • مثبت رضامندی۔ اس کا مطلب ہے کہ صارف کو رضامندی ظاہر کرنے کے لیے کچھ جان بوجھ کر کارروائی کرنی چاہیے، جیسے کہ کسی بیان پر دستخط کرنا یا باکس کو نشان زد کرنا۔ رضامندی پہلے سے طے شدہ اختیار نہیں ہو سکتی۔
  • آزادانہ طور پر رضامندی دی گئی۔ اس کا مطلب ہے کہ کمپنی ڈیٹا کے موضوع پر اثر انداز یا زبردستی کرنے کی کوشش نہیں کرتی ہے۔ موضوع کو کسی بھی وقت اپنی رضامندی واپس لینے کے قابل ہونا چاہیے۔

• تنظیم کے پاس ڈیٹا پر کارروائی کرنے کی قانونی ذمہ داری ہے۔

• تنظیم کو ڈیٹا کے موضوع یا کسی دوسرے شخص کی زندگی کی حفاظت کے لیے ڈیٹا پر کارروائی کرنی چاہیے۔

• تنظیم عوامی دلچسپی کی وجوہات، جیسے صحافت یا صحت عامہ کے لیے ڈیٹا پر کارروائی کر رہی ہے۔

• تنظیم ایک سرکاری کام انجام دینے کے لیے ڈیٹا پر کارروائی کرنے والی پبلک اتھارٹی ہے۔

• تنظیم جائز مفاد کے حصول کے لیے ڈیٹا پر کارروائی کر رہی ہے۔
  • A جائز دلچسپی ڈیٹا پر کارروائی کرکے کنٹرولر یا کوئی اور فریق حاصل کر سکتا ہے۔ مثالوں میں ملازمین پر پس منظر کی جانچ کرنا یا کارپوریٹ نیٹ ورک پر IP پتوں کو ٹریک کرنا شامل ہے۔ سائبر سیکورٹی مقاصد. جائز مفاد کی بنیاد کا دعوی کرنے کے لیے، تنظیم کو یہ ثابت کرنا چاہیے کہ پروسیسنگ ضروری ہے اور مضامین کے حقوق کی خلاف ورزی نہیں کرتی ہے۔ 

تنظیم کسی خاص مقصد کے لیے ڈیٹا اکٹھا کرتی ہے اور اسے صرف اسی مقصد کے لیے استعمال کرتی ہے۔

مقصد کی حد بندی کے GDPR اصول کے مطابق، کنٹرولرز کے پاس ڈیٹا اکٹھا کرنے کے لیے ایک شناخت شدہ اور دستاویزی مقصد ہونا چاہیے۔ کنٹرولر کو اس مقصد کو جمع کرنے کے مقام پر صارفین تک پہنچانا چاہیے، اور وہ ڈیٹا کو صرف اس نامزد مقصد کے لیے استعمال کر سکتا ہے۔

تنظیم صرف ضروری ڈیٹا کی کم از کم مقدار جمع کرتی ہے۔

کنٹرولرز صرف اپنے بیان کردہ مقصد کو پورا کرنے کے لیے ضروری ڈیٹا کی کم از کم مقدار جمع کر سکتے ہیں۔

تنظیم ڈیٹا کو درست اور تازہ ترین رکھتی ہے۔

کنٹرولرز کو یہ یقینی بنانے کے لیے معقول اقدامات کرنے چاہئیں کہ ان کے پاس موجود ذاتی ڈیٹا درست اور موجودہ ہے۔ 

تنظیم ڈیٹا کو حذف کر دیتی ہے جب اس کی مزید ضرورت نہیں ہوتی ہے۔

GDPR کو ڈیٹا کو برقرار رکھنے اور حذف کرنے کی سخت پالیسیوں کی ضرورت ہے۔ کمپنیاں صرف اس وقت تک ڈیٹا رکھ سکتی ہیں جب تک کہ اس ڈیٹا کو اکٹھا کرنے کا مخصوص مقصد پورا نہ ہو جائے، اور جب انہیں اس کی مزید ضرورت نہ رہے تو انہیں ڈیٹا کو حذف کر دینا چاہیے۔

تنظیم بچوں کے ڈیٹا یا خصوصی زمرے کے ڈیٹا پر کارروائی کرتے وقت اضافی احتیاط برتتی ہے۔

کنٹرولرز اور پروسیسرز کو مخصوص قسم کے ذاتی ڈیٹا پر اضافی تحفظات کا اطلاق کرنا چاہیے۔

خصوصی قسم ڈیٹا میں انتہائی حساس ڈیٹا شامل ہوتا ہے جیسے کسی شخص کی نسل اور بائیو میٹرکس۔ تنظیمیں صرف خاص قسم کے ڈیٹا پر بہت محدود حالات میں کارروائی کر سکتی ہیں، جیسے کہ صحت عامہ کے سنگین خطرات کو روکنا۔ کمپنیاں موضوع کی واضح رضامندی کے ساتھ خصوصی زمرے کے ڈیٹا پر بھی کارروائی کر سکتی ہیں۔

مجرمانہ سزا کا ڈیٹا صرف سرکاری حکام ہی کنٹرول کر سکتے ہیں۔ پروسیسرز صرف پبلک اتھارٹی کی ہدایت پر اس معلومات پر کارروائی کر سکتے ہیں۔

پروسیسنگ سے پہلے کنٹرولرز کو والدین کی رضامندی حاصل کرنی ہوگی۔ بچوں کا ڈیٹا انہیں مضامین کی عمروں اور والدین کی شناخت کی تصدیق کے لیے معقول اقدامات کرنے چاہئیں۔ اگر بچوں سے ڈیٹا اکٹھا کرتے ہیں، تو کنٹرولرز کو بچوں کے لیے دوستانہ زبان میں پرائیویسی نوٹس پیش کرنا چاہیے۔

ہر EEA ریاست GDPR کے تحت "بچے" کی اپنی تعریف طے کرتی ہے۔ یہ "13 سال سے کم عمر کے کسی بھی فرد" سے لے کر "16 سال سے کم عمر کے ہر فرد" تک ہیں۔ 

تنظیم تمام ڈیٹا پروسیسنگ سرگرمیوں کو دستاویز کرتی ہے۔

250 سے زیادہ ملازمین والی تنظیموں کو ڈیٹا پروسیسنگ کا ریکارڈ رکھنا چاہیے۔ 250 سے کم ملازمین والی تنظیموں کو ریکارڈ رکھنا چاہیے اگر وہ انتہائی حساس ڈیٹا پر کارروائی کرتے ہیں، ڈیٹا کو باقاعدگی سے پروسیس کرتے ہیں یا ڈیٹا کو اس طرح پروسیس کرتے ہیں جس سے ڈیٹا کے مضامین کے لیے ایک اہم خطرہ ہو۔

کنٹرولرز کے لیے ضروری ہے کہ وہ جو ڈیٹا اکٹھا کرتے ہیں، وہ اس ڈیٹا کے ساتھ کیا کرتے ہیں، ڈیٹا کے بہاؤ کے نقشے اور ڈیٹا کے تحفظات جیسی چیزوں کو دستاویز کریں۔ پروسیسرز کو ان کنٹرولرز کو دستاویز کرنا چاہیے جن کے لیے وہ کام کرتے ہیں، ہر ایک کنٹرولر کے لیے وہ کس قسم کی پروسیسنگ کرتے ہیں اور وہ سیکیورٹی کنٹرول جو وہ استعمال کرتے ہیں۔

کنٹرولر بالاخر تعمیل کو یقینی بنانے کا ذمہ دار ہے۔ 

GDPR کے تحت، تعمیل کی حتمی ذمہ داری ڈیٹا کے کنٹرولر پر عائد ہوتی ہے۔ اس کا مطلب ہے کہ کنٹرولر کو یقینی بنانا چاہیے اور یہ ثابت کرنے کے قابل ہونا چاہیے کہ اس کے تھرڈ پارٹی پروسیسرز تمام متعلقہ GDPR کی ضروریات کو پورا کرتے ہیں۔ 

ڈیٹا مضامین کے حقوق

GDPR ڈیٹا کے مضامین کو ان کے ڈیٹا پر کچھ حقوق دیتا ہے۔ کنٹرولرز اور پروسیسرز کو ان حقوق کا احترام کرنا چاہیے۔

تنظیم ڈیٹا مضامین کو اپنے حقوق استعمال کرنے کے آسان طریقے پیش کرتی ہے۔

تنظیموں کو ڈیٹا کے مضامین کو اپنے ڈیٹا پر اپنے حقوق کا دعوی کرنے کا ایک آسان ذریعہ دینا چاہیے۔ ان حقوق میں شامل ہیں:

• رسائی کا حق: مضامین کو اپنے ڈیٹا کی کاپیوں کی درخواست کرنے اور وصول کرنے کے قابل ہونا چاہیے، ساتھ ہی اس بارے میں متعلقہ معلومات بھی کہ کمپنی ڈیٹا کو کس طرح استعمال کرتی ہے۔

• اصلاح کا حق: مضامین کو اپنے ڈیٹا کو درست یا اپ ڈیٹ کرنے کے قابل ہونا چاہیے۔

• مٹانے کا حق: مضامین کو اپنے ڈیٹا کو حذف کرنے کی درخواست کرنے کے قابل ہونا چاہیے۔ 

• پروسیسنگ کو محدود کرنے کا حق: مضامین کو اس قابل ہونا چاہیے کہ وہ اس بات پر پابندی لگا سکیں کہ ان کا ڈیٹا کس طرح استعمال کیا جاتا ہے اگر انہیں شبہ ہے کہ ڈیٹا غلط ہے، مزید ضروری نہیں ہے یا غلط استعمال ہو رہا ہے۔ 

• اعتراض کا حق: مضامین کو پروسیسنگ پر اعتراض کرنے کے قابل ہونا چاہئے۔ جن مضامین نے پہلے اپنی رضامندی دی ہے وہ کسی بھی وقت اسے آسانی سے واپس لے سکتے ہیں۔

• ڈیٹا پورٹیبلٹی کا حق: مضامین کو اپنے ڈیٹا کی منتقلی کا حق حاصل ہے، اور کنٹرولرز اور پروسیسرز کو ان منتقلی کی سہولت فراہم کرنی چاہیے۔

عام طور پر، تنظیموں کو 30 دنوں کے اندر تمام ڈیٹا موضوع تک رسائی کی درخواستوں کا جواب دینا چاہیے۔ کمپنیوں کو عام طور پر کسی موضوع کی درخواست کی تعمیل کرنی چاہیے جب تک کہ کمپنی یہ ثابت نہ کرسکے کہ اس کے پاس ایسا نہ کرنے کی کوئی جائز، اوور رائیڈنگ وجہ ہے۔

اگر کوئی تنظیم کسی درخواست کو مسترد کرتی ہے، تو اسے اس کی وجہ بتانا ہوگی۔ تنظیم کو موضوع کو یہ بھی بتانا چاہیے کہ فیصلے کے خلاف کمپنی کے ڈیٹا پروٹیکشن آفیسر یا متعلقہ نگران اتھارٹی کے پاس اپیل کیسے کی جائے۔

تنظیم ڈیٹا کے مضامین کو خودکار فیصلوں کا مقابلہ کرنے کا ایک طریقہ پیش کرتی ہے۔

GDPR کے تحت، ڈیٹا کے مضامین کو یہ حق حاصل ہے کہ وہ خودکار فیصلہ سازی کے عمل کے پابند نہ ہوں جو ان پر اہم اثر ڈال سکتے ہیں۔ اس میں پروفائلنگ بھی شامل ہے، جسے GDPR کسی شخص کے کسی پہلو کا جائزہ لینے کے لیے آٹومیشن کے استعمال کے طور پر بیان کرتا ہے، جیسے کہ اس کے کام کی کارکردگی کی پیش گوئی کرنا۔

اگر کوئی تنظیم خودکار فیصلوں کا استعمال کرتی ہے، تو اسے ڈیٹا کے مضامین کو ان فیصلوں کا مقابلہ کرنے کا طریقہ دینا چاہیے۔ مضامین یہ بھی درخواست کر سکتے ہیں کہ ایک انسانی ملازم کسی ایسے خودکار فیصلوں کا جائزہ لے جو ان پر اثر انداز ہو۔

تنظیم اس بارے میں شفاف ہے کہ وہ ذاتی ڈیٹا کو کس طرح استعمال کرتی ہے۔

کنٹرولرز اور پروسیسرز کو ڈیٹا پراسیسنگ کی سرگرمیوں کے بارے میں ڈیٹا کے مضامین کو فعال اور واضح طور پر آگاہ کرنا چاہیے، بشمول وہ ڈیٹا جو وہ جمع کرتے ہیں، وہ اس کے ساتھ کیا کرتے ہیں اور مضامین ڈیٹا پر اپنے حقوق کا استعمال کیسے کر سکتے ہیں۔

یہ معلومات عام طور پر ڈیٹا اکٹھا کرنے کے دوران موضوع کو پیش کردہ رازداری کے نوٹس کے ذریعے بتائی جانی چاہیے۔ اگر کمپنی براہ راست مضامین سے ذاتی ڈیٹا اکٹھا نہیں کرتی ہے، تو ایک ماہ کے اندر مضامین کو رازداری کے نوٹس بھیجے جانے چاہئیں۔ کمپنیاں ان تفصیلات کو رازداری کی پالیسیوں میں بھی شامل کر سکتی ہیں جو ان کی ویب سائٹس پر عوامی طور پر قابل رسائی ہیں۔ 

ڈیٹا کی رازداری اور تحفظ کے اقدامات

GDPR کو کنٹرولرز اور پروسیسرز سے ذاتی ڈیٹا کے غلط استعمال کو روکنے اور ڈیٹا کے مضامین کو نقصان سے بچانے کے لیے اقدامات کرنے کی ضرورت ہے۔

تنظیم نے مناسب سائبرسیکیوریٹی کنٹرولز نافذ کیے ہیں۔

کنٹرولرز اور پروسیسرز کو تعینات کرنا ضروری ہے۔ حفاظتی اقدامات ذاتی ڈیٹا کی رازداری اور سالمیت کی حفاظت کے لیے۔ GDPR کو کسی خاص کنٹرول کی ضرورت نہیں ہے، لیکن یہ بتاتا ہے کہ کمپنیوں کو تکنیکی اور تنظیمی دونوں اقدامات کو اپنانا چاہیے۔

تکنیکی اقدامات ٹیکنالوجی کے حل شامل ہیں، جیسے شناخت اور رسائی کا انتظام (IAM) پلیٹ فارمز، خودکار بیک اپ اور ڈیٹا سیکورٹی کے اوزار. جبکہ GDPR واضح طور پر حکم نہیں دیتا خفیہ کاری ڈیٹا، یہ تجویز کرتا ہے کہ تنظیمیں جہاں بھی ممکن ہو تخلص اور گمنامی کا استعمال کریں۔

تنظیمی اقدامات ملازمین کی تربیت، جاری ہے۔ خطرے کی تشخیص اور دیگر سیکورٹی پالیسیاں اور عمل۔ کمپنیوں کو نئے سسٹمز اور پروڈکٹس کو تخلیق یا لاگو کرتے وقت ڈیزائن کے لحاظ سے اور بطور ڈیفالٹ ڈیٹا کے تحفظ کے اصول پر بھی عمل کرنا چاہیے۔

تنظیم ضرورت کے مطابق ڈیٹا پروٹیکشن امپیکٹ اسیسمنٹ (DPIAs) کرتی ہے۔

اگر کوئی کمپنی ڈیٹا کو اس طریقے سے پروسیس کرنے کا ارادہ رکھتی ہے جس سے مضامین کے حقوق کو زیادہ خطرہ لاحق ہو، تو اسے پہلے ڈیٹا پروٹیکشن امپیکٹ اسیسمنٹ (DPIA) کرنا چاہیے۔ پروسیسنگ کی وہ اقسام جو DPIA کو متحرک کر سکتی ہیں ان میں خودکار پروفائلنگ اور ذاتی ڈیٹا کے خصوصی زمروں کی بڑے پیمانے پر پروسیسنگ شامل ہیں۔

ایک DPIA کو استعمال کیے جانے والے ڈیٹا، مطلوبہ پروسیسنگ اور پروسیسنگ کے مقصد کی وضاحت کرنا ضروری ہے۔ اسے پروسیسنگ کے خطرات اور ان خطرات کو کم کرنے کے طریقوں کی نشاندہی کرنی چاہیے۔ اگر اہم غیر محدود خطرہ موجود ہے تو، تنظیم کو آگے بڑھنے سے پہلے ایک نگران اتھارٹی سے مشورہ کرنا چاہیے۔

اگر ضرورت ہو تو تنظیم نے ڈیٹا پروٹیکشن آفیسر (DPO) مقرر کیا ہے۔

کسی تنظیم کو ڈیٹا پروٹیکشن آفیسر (DPO) کا تقرر کرنا چاہیے اگر وہ بڑے پیمانے پر مضامین کی نگرانی کرتی ہے یا بنیادی سرگرمی کے طور پر خصوصی زمرے کے ڈیٹا پر کارروائی کرتی ہے۔ تمام پبلک اتھارٹیز کو بھی ڈی پی اوز کا تقرر کرنا چاہیے۔

ڈی پی او اس بات کو یقینی بنانے کا ذمہ دار ہے کہ تنظیم جی ڈی پی آر کے مطابق رہے۔ کلیدی فرائض میں ڈیٹا پروٹیکشن اتھارٹیز کے ساتھ ہم آہنگی، GDPR کی ضروریات پر تنظیم کو مشورہ دینا اور DPIAs کی نگرانی کرنا شامل ہے۔

ڈی پی او کو ایک آزاد افسر ہونا چاہیے جو براہ راست انتظامیہ کے اعلیٰ ترین سطح کو رپورٹ کرے۔ تنظیم ڈی پی او کے خلاف اپنے فرائض کی ادائیگی پر انتقامی کارروائی نہیں کر سکتی۔

جب ڈیٹا کی خلاف ورزی ہوتی ہے تو تنظیم نگران حکام اور ڈیٹا کے مضامین کو مطلع کرتی ہے۔

تنظیموں کو سب سے زیادہ رپورٹ کرنی چاہیے۔ ذاتی ڈیٹا کی خلاف ورزی 72 گھنٹوں کے اندر متعلقہ سپروائزری اتھارٹی کو۔ اگر خلاف ورزی ڈیٹا کے مضامین کے لیے خطرہ بنتی ہے، تو تنظیم کو مضامین کو بھی مطلع کرنا چاہیے۔ تنظیموں کو مضامین کو براہ راست مطلع کرنا چاہئے جب تک کہ براہ راست مواصلت غیر معقول نہ ہو، ایسی صورت میں عوامی نوٹس قابل قبول ہے۔

خلاف ورزی کا شکار ہونے والے پروسیسرز کو بغیر کسی تاخیر کے متعلقہ کنٹرولرز کو مطلع کرنا چاہیے۔

اگر EEA سے باہر واقع ہے تو تنظیم نے EEA میں ایک نمائندہ مقرر کیا ہے۔

EEA سے باہر کوئی بھی کمپنی جو EEA کے رہائشیوں کے ڈیٹا پر باقاعدگی سے کارروائی کرتی ہے یا خاص طور پر حساس ڈیٹا پر کارروائی کرتی ہے اسے EEA کے اندر ایک نمائندہ مقرر کرنا چاہیے۔ نمائندہ کمپنی کی جانب سے سرکاری حکام کے ساتھ رابطہ قائم کرتا ہے اور GDPR تعمیل کے معاملات کے لیے رابطہ کے نقطہ کے طور پر کام کرتا ہے۔

ڈیٹا کی منتقلی اور ڈیٹا شیئرنگ

GDPR اس بات کے اصول طے کرتا ہے کہ تنظیمیں EEA کے اندر اور باہر دوسری کمپنیوں کے ساتھ ذاتی ڈیٹا کا اشتراک کیسے کرتی ہیں۔

تنظیم پروسیسرز کے ساتھ تعلقات کو کنٹرول کرنے کے لیے باضابطہ ڈیٹا پروسیسنگ معاہدوں کا استعمال کرتی ہے۔

ایک کنٹرولر پروسیسر اور دوسرے فریق ثالث کے ساتھ ذاتی ڈیٹا کا اشتراک کر سکتا ہے، لیکن ان تعلقات کو باضابطہ ڈیٹا پروسیسنگ معاہدوں کے ذریعے کنٹرول کیا جانا چاہیے۔ ان معاہدوں میں GDPR کے حوالے سے تمام فریقین کے حقوق اور ذمہ داریوں کا خاکہ ہونا چاہیے۔

تھرڈ پارٹی پروسیسرز صرف کنٹرولر کی ہدایات کے مطابق ڈیٹا پر کارروائی کر سکتے ہیں۔ وہ کنٹرولر کا ڈیٹا اپنے مقاصد کے لیے استعمال نہیں کر سکتے۔ ایک پروسیسر کو ذیلی پروسیسر کے ساتھ ڈیٹا کا اشتراک کرنے سے پہلے کنٹرولر سے منظوری حاصل کرنا ضروری ہے۔

تنظیم EEA سے باہر صرف منظور شدہ ڈیٹا کی منتقلی کرتی ہے۔

ایک کنٹرولر صرف EEA سے باہر موجود کسی تیسرے فریق کے ساتھ ڈیٹا کا اشتراک کر سکتا ہے اگر ڈیٹا کی منتقلی درج ذیل میں سے کم از کم ایک معیار پر پورا اترتی ہو:

• یورپی کمیشن نے اس ملک کے ڈیٹا پرائیویسی قوانین کو مناسب سمجھا ہے جہاں تھرڈ پارٹی موجود ہے۔
• یوروپی کمیشن نے تیسرے فریق کو ڈیٹا پروٹیکشن کی مناسب پالیسیاں اور کنٹرول سمجھا ہے۔
• کنٹرولر نے منتقل کیے جانے والے ڈیٹا کی حفاظت اور رازداری کو یقینی بنانے کے لیے تمام ضروری اقدامات کیے ہیں۔

GDPR تعمیل کے حل دریافت کریں۔

جی ڈی پی آر کی تعمیل ایک جاری عمل ہے، اور تنظیم کی ضروریات تبدیل ہو سکتی ہیں کیونکہ یہ نیا ڈیٹا اکٹھا کرتی ہے اور نئی قسم کی پروسیسنگ سرگرمیوں میں مشغول ہوتی ہے۔

ڈیٹا سیکیورٹی اور تعمیل کے حل جیسے IBM Security® Guardium® GDPR تعمیل تک پہنچنے اور برقرار رکھنے کے عمل کو ہموار کرنے میں مدد کر سکتے ہیں۔ Guardium خود بخود GDPR کے ذریعے ریگولیٹڈ ڈیٹا دریافت کر سکتا ہے، اس ڈیٹا کے لیے تعمیل کے قوانین کو نافذ کر سکتا ہے، ڈیٹا کے استعمال کی نگرانی کر سکتا ہے اور تنظیموں کو ڈیٹا سیکیورٹی کو لاحق خطرات کا جواب دینے کے لیے بااختیار بنا سکتا ہے۔

IBM کے ڈیٹا سیکیورٹی اور تعمیل پروڈکٹس کے سوٹ کے بارے میں مزید جانیں۔