ہم کون ہیں؟
ڈیٹا کنٹرولر کا نام اور رابطے کی تفصیلات فراہم کریں۔ یہ عام طور پر آپ کا کاروبار ہو گا یا آپ، اگر آپ واحد تاجر ہیں۔ جہاں قابل اطلاق ہو، آپ کو کنٹرولر کے نمائندے اور/یا ڈیٹا پروٹیکشن آفیسر کی شناخت اور رابطے کی تفصیلات شامل کرنی چاہئیں۔
ہم کون سی معلومات جمع کرتے ہیں؟
آپ جو ذاتی معلومات اکٹھا کرتے ہیں اس کی قسمیں بتائیں، جیسے کہ نام، پتے، صارف کے نام وغیرہ۔ آپ کو اس پر مخصوص تفصیلات شامل کرنی چاہئیں:
آپ ڈیٹا کیسے اکٹھا کرتے ہیں (مثال کے طور پر جب کوئی صارف آپ کی خدمات کو رجسٹر کرتا ہے، خریدتا ہے یا استعمال کرتا ہے، رابطہ فارم مکمل کرتا ہے، نیوز لیٹر پر سائن اپ کرتا ہے، وغیرہ)
ڈیٹا اکٹھا کرنے کے ہر طریقہ کے ذریعے آپ کون سا مخصوص ڈیٹا اکٹھا کرتے ہیں۔
اگر آپ فریق ثالث سے ڈیٹا اکٹھا کرتے ہیں، تو آپ کو ڈیٹا اور سورس کے زمرے بتانا ہوں گے۔
اگر آپ حساس ذاتی ڈیٹا یا مالی معلومات پر کارروائی کرتے ہیں، اور آپ اسے کیسے ہینڈل کرتے ہیں۔
آپ صارف کو ذاتی ڈیٹا اور حساس ذاتی ڈیٹا کے سلسلے میں متعلقہ تعریفیں فراہم کرنا چاہیں گے۔
ہم ذاتی معلومات کا استعمال کیسے کرتے ہیں؟
تمام خدمات اور کاروبار سے متعلقہ مقاصد کو تفصیل سے بیان کریں جن کے لیے آپ ڈیٹا پر کارروائی کریں گے۔ مثال کے طور پر، اس میں چیزیں شامل ہو سکتی ہیں جیسے:
مواد، کاروباری معلومات یا صارف کے تجربے کو ذاتی بنانا
اکاؤنٹ سیٹ اپ اور انتظامیہ
مارکیٹنگ اور واقعات کے مواصلات کی فراہمی
سروے اور سروے کرنا
اندرونی تحقیق اور ترقی کے مقاصد
سامان اور خدمات فراہم کرنا
قانونی ذمہ داریاں (مثلاً دھوکہ دہی کی روک تھام)
اندرونی آڈٹ کی ضروریات کو پورا کرنا
براہ کرم نوٹ کریں کہ یہ فہرست مکمل نہیں ہے۔ آپ کو ان تمام مقاصد کو ریکارڈ کرنے کی ضرورت ہوگی جن کے لیے آپ ذاتی ڈیٹا پر کارروائی کرتے ہیں۔
آپ کے ذاتی ڈیٹا پر کارروائی کرنے کے لیے ہمارے پاس کیا قانونی بنیاد ہے؟
GDPR کے اندر موجود متعلقہ پروسیسنگ حالات کی وضاحت کریں۔ چھ ممکنہ قانونی بنیادیں ہیں:
رضامندی
معاہدہ
جائز مفادات
اہم مفادات
عوامی کام
قانونی ذمہ داری
ان تمام بنیادوں پر تفصیلی معلومات فراہم کریں جو آپ کی پروسیسنگ پر لاگو ہوتے ہیں، اور کیوں۔ اگر آپ رضامندی پر بھروسہ کرتے ہیں تو وضاحت کریں کہ لوگ کس طرح اپنی رضامندی واپس لے سکتے ہیں اور اس کا انتظام کر سکتے ہیں۔ اگر آپ جائز مفادات پر انحصار کرتے ہیں تو واضح طور پر وضاحت کریں کہ یہ کیا ہیں۔
اگر آپ خصوصی زمرہ کے ذاتی ڈیٹا پر کارروائی کر رہے ہیں، تو آپ کو پروسیسنگ کی چھ شرائط میں سے کم از کم ایک کو پورا کرنا ہو گا، ساتھ ہی GDPR کے تحت پروسیسنگ کے لیے اضافی تقاضے بھی پورے کرنا ہوں گے۔ لاگو ہونے والے تمام اضافی بنیادوں پر معلومات فراہم کریں۔
ہم ذاتی ڈیٹا کا اشتراک کب کرتے ہیں؟
وضاحت کریں کہ آپ ذاتی ڈیٹا کو خفیہ رکھیں گے اور ان حالات کی وضاحت کریں گے جب آپ اسے ظاہر یا شیئر کر سکتے ہیں۔ مثال کے طور پر، جب آپ کو آپ کی خدمات فراہم کرنے یا آپ کے کاروباری آپریشنز کو چلانے کے لیے ضروری ہو، جیسا کہ آپ کے پروسیسنگ کے مقاصد میں بیان کیا گیا ہے۔ آپ کو معلومات فراہم کرنی چاہئے:
آپ ڈیٹا کا اشتراک کیسے کریں گے۔
آپ کے پاس کون سے تحفظات ہوں گے۔
آپ کن پارٹیوں کے ساتھ ڈیٹا شیئر کر سکتے ہیں اور کیوں
ہم ذاتی ڈیٹا کو کہاں اسٹور اور پروسیس کرتے ہیں؟
اگر قابل اطلاق ہو تو وضاحت کریں کہ کیا آپ ڈیٹا کو ڈیٹا کے موضوع کے آبائی ملک سے باہر ذخیرہ کرنے اور اس پر کارروائی کرنے کا ارادہ رکھتے ہیں۔ ان اقدامات کا خاکہ بنائیں جو آپ اس بات کو یقینی بنانے کے لیے اٹھائیں گے کہ ڈیٹا پر آپ کی پرائیویسی پالیسی اور اس ملک کے قابل اطلاق قانون کے مطابق عمل کیا جائے جہاں ڈیٹا موجود ہے۔
اگر آپ ڈیٹا کو یورپی اکنامک ایریا سے باہر منتقل کرتے ہیں، تو ان اقدامات کا خاکہ پیش کریں جو آپ ڈیٹا پرائیویسی تحفظ کی مناسب سطح فراہم کرنے کے لیے کریں گے۔ مثلاً معاہدہ کی شقیں، ڈیٹا کی منتقلی کے معاہدے وغیرہ۔
ہم ذاتی ڈیٹا کو کیسے محفوظ کرتے ہیں؟
ڈیٹا کی حفاظت کے لیے اپنے نقطہ نظر اور ان ٹیکنالوجیز اور طریقہ کار کی وضاحت کریں جنہیں آپ ذاتی معلومات کی حفاظت کے لیے استعمال کرتے ہیں۔ مثال کے طور پر، یہ اقدامات ہوسکتے ہیں:
حادثاتی نقصان سے ڈیٹا کی حفاظت کے لیے
غیر مجاز رسائی، استعمال، تباہی یا انکشاف کو روکنے کے لیے
کاروبار کے تسلسل اور تباہی کی بحالی کو یقینی بنانے کے لیے
ذاتی معلومات تک رسائی کو محدود کرنے کے لیے
قانون اور آپ کی کاروباری پالیسیوں کے مطابق رازداری کے اثرات کا جائزہ لینے کے لیے
ڈیٹا سیکورٹی پر عملے اور ٹھیکیداروں کو تربیت دینے کے لیے
معاہدوں اور حفاظتی جائزوں کے استعمال کے ذریعے فریق ثالث کے خطرات کا انتظام کرنا
براہ کرم نوٹ کریں کہ یہ فہرست مکمل نہیں ہے۔ آپ کو ان تمام میکانزم کو ریکارڈ کرنا چاہیے جن پر آپ ذاتی ڈیٹا کی حفاظت کے لیے انحصار کرتے ہیں۔ آپ کو یہ بھی بتانا چاہیے کہ آیا آپ کی تنظیم کچھ قبول شدہ معیارات یا ریگولیٹری تقاضوں پر عمل پیرا ہے۔
ہم آپ کا ذاتی ڈیٹا کب تک رکھیں گے؟
ہر پروسیسنگ مقصد کے سلسلے میں آپ معلومات کو اپنے پاس رکھنے کے وقت کے بارے میں مخصوص معلومات فراہم کریں۔ جی ڈی پی آر آپ سے ڈیٹا کو مناسب ضرورت سے زیادہ دیر تک برقرار رکھنے کا تقاضا کرتا ہے۔ اپنے ڈیٹا یا ریکارڈ کو برقرار رکھنے کے نظام الاوقات کی تفصیلات شامل کریں، یا اضافی وسائل سے لنک کریں جہاں یہ شائع ہوتے ہیں۔
اگر آپ ایک مخصوص مدت بیان نہیں کر سکتے ہیں، تو آپ کو وہ معیار طے کرنے کی ضرورت ہے جو آپ لاگو کریں گے اس بات کا تعین کرنے کے لیے کہ ڈیٹا کو کب تک رکھنا ہے (مثلاً مقامی قوانین، معاہدہ کی ذمہ داریاں، وغیرہ)
آپ کو یہ بھی بتانا چاہیے کہ آپ کو ڈیٹا کی ضرورت نہ ہونے کے بعد اسے محفوظ طریقے سے کیسے ضائع کرنا چاہیے۔
ذاتی ڈیٹا کے سلسلے میں آپ کے حقوق
GDPR کے تحت، آپ کو ڈیٹا مضامین کے ذاتی ڈیٹا تک رسائی اور کنٹرول کرنے کے حق کا احترام کرنا چاہیے۔ آپ کے پرائیویسی نوٹس میں، آپ کو ان کے حقوق کا خاکہ دینا چاہیے:
ذاتی معلومات تک رسائی
اصلاح اور حذف
رضامندی سے دستبرداری (اگر رضامندی کی شرط پر ڈیٹا پر کارروائی کی جائے)
ڈیٹا پورٹیبلٹی
پروسیسنگ اور اعتراض کی پابندی
انفارمیشن کمشنر کے دفتر میں شکایت درج کرانا
آپ کو یہ بتانا چاہیے کہ افراد اپنے حقوق کا استعمال کیسے کر سکتے ہیں، اور آپ کس طرح موضوع کے ڈیٹا کی درخواستوں کا جواب دینے کا ارادہ رکھتے ہیں۔ بتائیں کہ کیا کوئی متعلقہ استثنیٰ لاگو ہو سکتا ہے اور شناخت کی توثیق کے کسی ایسے طریقہ کار کو ترتیب دیں جن پر آپ انحصار کر سکتے ہیں۔
ان حالات کی تفصیلات شامل کریں جہاں ڈیٹا سبجیکٹ کے حقوق محدود ہو سکتے ہیں، مثلاً اگر ڈیٹا سبجیکٹ کی درخواست کو پورا کرنے سے کسی دوسرے شخص کے بارے میں ذاتی ڈیٹا سامنے آسکتا ہے، یا اگر آپ سے ڈیٹا کو حذف کرنے کے لیے کہا جاتا ہے جسے آپ قانون کے مطابق رکھنا چاہتے ہیں۔
خودکار فیصلہ سازی اور پروفائلنگ کا استعمال
جہاں آپ پروفائلنگ یا دیگر خودکار فیصلہ سازی کا استعمال کرتے ہیں، آپ کو اپنی رازداری کی پالیسی میں اس کا انکشاف کرنا چاہیے۔ ایسے معاملات میں، آپ کو کسی بھی خودکار فیصلہ سازی کے وجود کے بارے میں تفصیلات فراہم کرنی ہوں گی، ساتھ میں اس میں شامل منطق کے بارے میں معلومات، اور فرد کی پروسیسنگ کی ممکنہ اہمیت اور نتائج۔
ہم سے رابطہ کیسے کریں؟
وضاحت کریں کہ اگر ڈیٹا کا موضوع آپ کے رازداری کے طریقوں، ان کی ذاتی معلومات کے بارے میں سوالات یا خدشات رکھتا ہے، یا اگر وہ شکایت درج کروانا چاہتے ہیں تو وہ کس طرح رابطہ کر سکتے ہیں۔ ان تمام طریقوں کی وضاحت کریں جن میں وہ آپ سے رابطہ کر سکتے ہیں – مثلاً آن لائن، ای میل یا ڈاک کے ذریعے۔
اگر قابل اطلاق ہو تو، آپ ان پر بھی معلومات شامل کر سکتے ہیں:
کوکیز اور دیگر ٹیکنالوجیز کا استعمال
آپ مزید معلومات کے لیے ایک لنک شامل کر سکتے ہیں، یا پالیسی کے اندر بیان کر سکتے ہیں اگر آپ اپنی ویب سائٹ پر صارف کی ترجیحات کو ذخیرہ کرنے اور ان کا نظم کرنے، اشتہار دینے، مواد کو فعال کرنے یا بصورت دیگر صارف اور استعمال کے ڈیٹا کا تجزیہ کرنے کے لیے کوکیز، ٹریکنگ اور اسی طرح کی ٹیکنالوجیز کو سیٹ اور استعمال کرنا چاہتے ہیں۔ اس بارے میں معلومات فراہم کریں کہ آپ کس قسم کی کوکیز اور ٹیکنالوجیز استعمال کرتے ہیں، آپ انہیں کیوں استعمال کرتے ہیں اور ایک فرد انہیں کیسے کنٹرول اور منظم کر سکتا ہے۔
دوسری ویب سائٹس / تھرڈ پارٹی مواد سے لنک کرنا
اگر آپ اپنی ویب سائٹ سے بیرونی سائٹس اور وسائل سے لنک کرتے ہیں، تو اس بارے میں مخصوص رہیں کہ آیا اس کی توثیق ہوتی ہے، اور اگر آپ کسی بھی لنک شدہ ویب سائٹ کے مواد (یا اس کے اندر موجود معلومات) کی کوئی ذمہ داری لیتے ہیں۔
آپ اپنے کاروبار کے حالات کے لحاظ سے اپنی رازداری کی پالیسی میں دیگر اختیاری شقوں کو شامل کرنے پر غور کر سکتے ہیں۔