'کنٹرولر' کیا ہوتا ہے اور یہ کیوں اہم ہے؟
PDPL کے تحت، ہر وہ ادارہ جو یہ طے کرتا ہو کہ آپ کا ذاتی ڈیٹا کیسے اور کس مقصد کے لیے پروسیس کیا جائے گا، کنٹرولر کہلاتا ہے۔ یہ آپ کا آجر، کوئی اسپتال، سرکاری محکمہ، مالک مکان کی پراپرٹی مینجمنٹ کمپنی، یا سعودی عرب میں آپ کا کاروباری تعلق رکھنے والا کوئی بھی ادارہ ہو سکتا ہے۔
پروسیسر وہ فریقِ ثالث ہوتا ہے جو کنٹرولر کی جانب سے ڈیٹا کو سنبھالتا ہے — مثلاً تنخواہ کا انتظام کرنے والی کمپنی یا کلاؤڈ اسٹوریج فراہم کنندہ۔ کنٹرولر اور پروسیسر دونوں پر قانونی ذمہ داریاں عائد ہوتی ہیں، تاہم کنٹرولر آپ کے حوالے سے جوابدہی کا بنیادی مرکز ہوتا ہے۔
---
وہ بنیادی اصول جن کی اداروں کو پابندی کرنی ہوتی ہے
PDPL کا تقاضا ہے کہ ذاتی ڈیٹا کو سخت اصولوں کے مطابق پروسیس کیا جائے:
- مقصد کی حد بندی: ڈیٹا کو ایک مخصوص، واضح اور جائز مقصد کے لیے اکٹھا کیا جانا چاہیے۔ کوئی کمپنی آپ کا ڈیٹا ایک وجہ سے اکٹھا کر کے اسے کسی بالکل مختلف مقصد کے لیے استعمال نہیں کر سکتی۔
- ڈیٹا کی کمیت: صرف وہ کم سے کم ڈیٹا اکٹھا کیا جا سکتا ہے جو مقررہ مقصد کے حصول کے لیے ضروری ہو۔ ادارے ضرورت سے زیادہ ذاتی معلومات طلب نہیں کر سکتے۔
- درستگی: کنٹرولرز کو یہ یقینی بنانا ہوگا کہ پروسیسنگ کے دوران آپ کا ڈیٹا درست اور تازہ ترین رہے۔
- ذخیرہ کاری کی حد بندی: ڈیٹا کو ضرورت سے زیادہ عرصے تک محفوظ نہیں رکھا جا سکتا۔ مقصد پورا ہو جانے کے بعد اسے محفوظ طریقے سے ضائع کرنا لازم ہے۔
- سلامتی: اداروں کو آپ کے ڈیٹا کو ضیاع، غیر مجاز رسائی یا خلاف ورزی سے بچانے کے لیے تکنیکی اور انتظامی اقدامات نافذ کرنے ہوں گے۔
---
ڈیٹا پروسیسنگ کی قانونی بنیادیں
عمومی طور پر اداروں کو آپ کا ذاتی ڈیٹا پروسیس کرنے کے لیے آپ کی رضامندی درکار ہوتی ہے۔ تاہم قانون مخصوص حالات میں رضامندی کے بغیر پروسیسنگ کی اجازت دیتا ہے، جن میں شامل ہیں:
- جب پروسیسنگ اہم مفادات کے تحفظ کے لیے ضروری ہو (مثلاً طبی ہنگامی صورتحال)
- جب یہ کسی جائز عوامی مفاد کی خدمت کرے
- جب کسی قانونی ذمہ داری کی تکمیل کے لیے ضروری ہو
- جب کسی ایسے معاہدے کو نافذ کرنے کے لیے ناگزیر ہو جس کی آپ فریق ہیں
تارکین وطن کو اس کا سامنا اکثر روزگار کے تناظر میں ہوتا ہے — آپ کا آجر تنخواہ، ویزا، یا قانونی اطلاعاتی ذمہ داریوں کی تکمیل کے لیے بعض ڈیٹا ہر دفعہ علیحدہ رضامندی لیے بغیر پروسیس کر سکتا ہے۔
---
ڈیزائن اور پیش رفت کے ذریعے ڈیٹا تحفظ
PDPL کی ایک پیش رو ضرورت یہ ہے کہ کنٹرولرز ڈیزائن اور ڈیفالٹ کے ذریعے ڈیٹا تحفظ کو نافذ کریں۔ اس کا مطلب ہے:
- رازداری کے تحفظات کو سسٹمز اور عمل میں شروع سے ہی شامل کیا جائے — بعد میں اضافے کے طور پر نہیں
- کسی بھی پلیٹ فارم یا سروس کی پیش رفت سیٹنگز سب سے زیادہ رازداری کا تحفظ کرنے والی ہونی چاہئیں
- کوئی بھی ایسی پروسیسنگ شروع کرنے سے پہلے جو آپ کی رازداری کو اہم خطرات لاحق کر سکتی ہو، اداروں کو ڈیٹا تحفظ اثر تشخیص (DPIA) کرنا ہوگا
یہ خاص طور پر سعودی عرب میں ایپس، ڈیجیٹل سرکاری خدمات اور صحت کی دیکھ بھال کے پلیٹ فارمز سے معاملہ کرتے وقت اہمیت رکھتا ہے۔
---
ڈیٹا تحفظ افسر (DPO)
SDAIA کے ضوابط کے تحت مخصوص حالات میں اداروں پر ڈیٹا تحفظ افسر (DPO) مقرر کرنا لازم ہے۔ DPO کی ذمہ داریوں میں شامل ہیں:
- تعمیل کے حوالے سے داخلی رہنمائی فراہم کرنا
- PDPL پر عمل درآمد کی نگرانی کرنا
- ڈیٹا کے موضوعات اور SDAIA کے ساتھ رابطے کا نقطہ بننا
- تربیتی اور آگاہی پروگرام چلانا
اگر آپ کو کسی کمپنی کے حوالے سے ڈیٹا سے متعلق کوئی تشویش ہو تو پہلا عملی قدم یہ ہے کہ پوچھیں کہ آیا ان کے پاس DPO ہے — اور براہ راست اس شخص سے رابطہ کریں۔
---
آپ کے ڈیٹا کا افشا اور اشتراک
ادارے آپ کی رضامندی کے بغیر آپ کا ذاتی ڈیٹا فریقِ ثالث کو افشا نہیں کر سکتے، جب تک کہ کوئی مخصوص قانونی استثنا لاگو نہ ہو۔ اس کا مطلب ہے:
- آپ کا آجر آپ کی ذاتی تفصیلات آزادانہ طور پر دیگر کمپنیوں کو نہیں دے سکتا
- کوئی اسپتال آپ کی طبی دستاویزات آپ کے علم کے بغیر بیمہ کمپنیوں کو نہیں بھیج سکتا
- مالک مکان آپ کی شناختی تفصیلات مارکیٹنگ کمپنیوں کے ساتھ شیئر نہیں کر سکتا
اگر آپ کو معلوم ہو کہ آپ کا ڈیٹا کسی قانونی بنیاد کے بغیر شیئر کیا گیا ہے تو آپ SDAIA میں شکایت درج کرانے کے مجاز ہیں۔
---
تارکین وطن کے لیے عملی اقدامات
- رازداری نوٹس طلب کریں جب بھی آپ سعودی عرب میں کوئی سروس استعمال کریں یا نئی ملازمت شروع کریں
- ضرورت سے زیادہ ڈیٹا کی درخواستوں پر سوال اٹھائیں — اگر کوئی سروس ضرورت سے زیادہ معلومات مانگے تو آپ کو یہ پوچھنے کا حق ہے کہ یہ کیوں درکار ہے
- اپنا ڈیٹا تحریری طور پر طلب کریں اگر آپ کو شبہ ہو کہ اس کا غلط استعمال ہو رہا ہے
- ہر چیز کا ریکارڈ رکھیں: رضامندی فارمز، رازداری پالیسیوں اور اپنے ڈیٹا سے متعلق تمام مراسلات کا ریکارڈ محفوظ رکھیں
- خلاف ورزیوں کی اطلاع SDAIA کو دیں اگر کوئی ادارہ تعاون سے انکار کرے یا قانون کی واضح خلاف ورزی کرے