ڊيٽا شيئرنگ جديد واپار جي جان آهي. ڇا توهان هڪ نئين ڪلائوڊ فراهم ڪندڙ سان گڏ آهيو، ڪنهن مارڪيٽنگ ايجنسي سان تعاون ڪري رهيا آهيو، يا ڪنهن ٽئين پارٽي HR سسٽم کي ضم ڪري رهيا آهيو، ذاتي ڊيٽا تنظيمن جي وچ ۾ مسلسل وهندو رهي ٿو. پر هتي هڪ تڪليفده سچائي آهي: گهڻا ڪاروبار قانوني مائن فيلڊ کي گهٽ سمجهن ٿا جيڪو ڊيٽا شيئرنگ جنرل ڊيٽا پروٽيڪشن ريگيوليشن (GDPR) جي تحت نمائندگي ڪري ٿو.

داؤ حقيقي آهن. جرمانو €20 ملين يا عالمي سالياني ٽرن اوور جو 4٪ تائين پهچي سگهي ٿو - جيڪو به وڌيڪ هجي. مالي ڏنڊن کان ٻاهر، توهان متاثر ٿيل ماڻهن کان شهرت جي نقصان، ريگيوليٽري جاچ، ۽ سول ذميواري جي دعوائن جو خطرو کڻندا آهيو. ڊچ ڊيٽا پروٽيڪشن اٿارٽي (آٽورائيٽ پرسون گيگيونس، يا اي پي) اهو واضح ڪيو آهي: جهالت دفاع نه آهي.

هي مضمون توهان کي ست نازڪ GDPR خطرن مان گذري ٿو جيڪي ذاتي ڊيٽا شيئر ڪرڻ وقت پيدا ٿين ٿا. هر خطرو مخصوص GDPR دفعات ۾ ٻڌل آهي، حقيقي دنيا جي نتيجن سان بيان ڪيل آهي، ۽ عملي هدايت سان جوڙيو ويو آهي ته جيئن توهان جي تعميل ۾ مدد ڪري سگهجي. ڇا توهان هڪ ڪاروباري مالڪ آهيو، تعميل آفيسر آهيو، يا هالينڊ ۾ ڪم ڪندڙ قانوني پيشه ور آهيو، انهن نقصانن کي سمجهڻ ضروري آهي.

1. صحيح قانوني بنياد کان سواءِ ڊيٽا شيئر ڪرڻ (آرٽيڪل 6 GDPR)

خطرو: توهان ذاتي ڊيٽا صرف ان ڪري شيئر نٿا ڪري سگهو جو اهو آسان يا فائديمند آهي. ڊيٽا شيئرنگ جي هر مثال کي آرٽيڪل 6 GDPR جي تحت هڪ صحيح قانوني بنياد جي ضرورت آهي.

ڪمپنيون غلط ڇو ٿيون ٿين: ڪيتريون ئي تنظيمون فرض ڪن ٿيون ته ڊيٽا شيئر ڪرڻ لاءِ تجارتي سبب هجڻ ڪافي آهي. اهو ناهي. GDPR پروسيسنگ لاءِ ڇهه قانوني بنياد فراهم ڪري ٿو: رضامندي، معاهدي جي ضرورت، قانوني ذميواري، اهم مفاد، عوامي ڪم، ۽ جائز مفاد. هر هڪ جون مخصوص گهرجون ۽ حدون آهن.

مثال طور، "جائز مفادن" کي اڪثر ڀائيوارن يا سروس فراهم ڪندڙن سان ڊيٽا شيئرنگ کي جائز قرار ڏيڻ لاءِ استعمال ڪيو ويندو آهي. پر هن بنياد لاءِ هڪ محتاط توازن جي جانچ جي ضرورت آهي: توهان جا مفاد انهن ماڻهن جي حقن ۽ آزادين کي اوور رائيڊ نه ڪرڻ گهرجن جن جي ڊيٽا توهان پروسيس ڪري رهيا آهيو. ۽ توهان کي هن تشخيص کي دستاويز ڪرڻ گهرجي.

قانوني بنياد: آرٽيڪل 6 GDPR قانوني بنيادن جي مڪمل فهرست بيان ڪري ٿو. آرٽيڪل 5(1)(a) GDPR حڪم ڏئي ٿو ته سڀ پروسيسنگ قانوني، منصفانه ۽ شفاف هجي.

حقيقي دنيا جو نتيجو: اي پي انهن تنظيمن تي ڏنڊ لاڳو ڪيو آهي جيڪي مناسب قانوني بنياد کان سواءِ مارڪيٽنگ جي مقصدن لاءِ ٽئين پارٽين سان گراهڪ ڊيٽا شيئر ڪن ٿيون. جيتوڻيڪ ڊيٽا گمنام يا گڏ ڪيو ويو هو، جيڪڏهن ٻيهر سڃاڻپ ممڪن آهي، ته اهو ذاتي ڊيٽا رهي ٿو ۽ ان کي قانوني بنياد جي ضرورت آهي.

عملي رستو: ڪنهن به ذاتي ڊيٽا کي شيئر ڪرڻ کان اڳ، سڃاڻپ ڪريو ۽ دستاويز ڪريو ته ڪهڙو قانوني بنياد لاڳو ٿئي ٿو. جيڪڏهن جائز مفادن تي ڀروسو ڪري رهيا آهيو، ته هڪ جائز مفادن جي تشخيص (LIA) کي منظم ڪريو ۽ رڪارڊ ڪريو. جيڪڏهن رضامندي استعمال ڪري رهيا آهيو، پڪ ڪريو ته اهو آزادانه طور تي ڏنو ويو آهي، مخصوص، باخبر، ۽ غير واضح.

2. ڪردارن تي مونجهارو: ڪنٽرولر بمقابله پروسيسر (آرٽيڪل 4(7)-(8) GDPR)

خطرو: GDPR ڪنٽرولرز (جيڪي پروسيسنگ جا مقصد ۽ ذريعا طئي ڪن ٿا) ۽ پروسيسرز (جيڪي ڪنٽرولر جي طرفان ڊيٽا پروسيس ڪن ٿا) جي وچ ۾ فرق ڪري ٿو. توهان جي ڪردار جي غلط سڃاڻپ - يا توهان جي ساٿي جي - سنگين تعميل جي خلا پيدا ڪري ٿي.

ڪمپنيون غلط ڇو ٿيون ٿين: عملي طور تي، ڪردار مبهم ٿي سگهن ٿا. جيڪڏهن توهان SaaS فراهم ڪندڙ سان ڊيٽا شيئر ڪندا آهيو، ته ڇا اهي ڪنٽرولر آهن يا پروسيسر؟ جيڪڏهن اهي توهان جي ڊيٽا کي پنهنجي الگورتھم کي بهتر بڻائڻ لاءِ استعمال ڪن ٿا ته ڇا ٿيندو؟ ڪيترائي ڪاروبار هر وينڊر کي رشتي جو صحيح تجزيو ڪرڻ کان سواءِ "پروسيسر" سڏڻ لاءِ ڊفالٽ آهن.

غلط درجه بندي اهم آهي ڇاڪاڻ ته ڪنٽرولرز ۽ پروسيسرز جون مختلف ذميواريون آهن. ڪنٽرولرز کي يقيني بڻائڻ گهرجي ته پروسيسرز تعميل جي ڪافي ضمانتون فراهم ڪن (آرٽيڪل 28 GDPR). گڏيل ڪنٽرولرز کي پنهنجي لاڳاپيل ذميوارين تي متفق ٿيڻ گهرجي (آرٽيڪل 26 GDPR). غلط سمجهو، ۽ توهان کي انهن خلاف ورزين لاءِ ذميوار قرار ڏنو وڃي جيڪي توهان کي خبر به نه هئي ته ٿي رهيون آهن.

قانوني بنياد: آرٽيڪل 4(7) ۽ (8) GDPR "ڪنٽرولر" ۽ "پروسيسر" جي تعريف ڪن ٿا. آرٽيڪل 24 GDPR ڪنٽرولر جي احتساب جي ذميدارين کي بيان ڪري ٿو.

حقيقي دنيا جو نتيجو: يورپي عدالت انصاف ۾ فيصلو ڏنو فيشن آئي ڊي (C-40/17) ته مقصدن جو جزوي تعين به توهان کي گڏيل ڪنٽرولر بڻائي سگهي ٿو. ان جو مطلب آهي ته توهان کي GDPR جي خلاف ورزين لاءِ گڏيل طور تي ذميوار قرار ڏئي سگهجي ٿو، جيتوڻيڪ ٻي پارٽي انهن جو سبب بڻي هجي.

عملي رستو: ڊيٽا جي وهڪري جو نقشو ٺاهيو ۽ طئي ڪريو ته ڪير فيصلو ڪري ٿو ڇو ۽ ڪيئن ڊيٽا تي عمل ڪيو ويندو آهي. ان کي لکت ۾ دستاويز ڪريو ۽ پڪ ڪريو ته هر پارٽي پنهنجي ڪردار ۽ ذميدارين کي سمجهي.

3. گم ٿيل يا نا مناسب ڊيٽا پروسيسنگ معاهدو (آرٽيڪل 28 GDPR)

خطرو: جيڪڏهن توهان پنهنجي طرفان ذاتي ڊيٽا سنڀالڻ لاءِ هڪ پروسيسر کي شامل ڪيو ٿا، ته توهان کي قانوني طور تي هڪ تحريري ڊيٽا پروسيسنگ معاهدو (DPA) هجڻ جي ضرورت آهي. ڪو به استثنا نه آهي.

ڪمپنيون غلط ڇو ٿيون ٿين: ڪاغذي ڪارروائي کي ڇڏي ڏيڻ پرڪشش آهي، خاص طور تي قابل اعتماد يا ڊگهي عرصي وارن ڀائيوارن سان. پر هڪ تعميل ڪندڙ DPA کان سواءِ، توهان پهرين ڏينهن کان آرٽيڪل 28 GDPR جي خلاف ورزي ڪري رهيا آهيو - جيتوڻيڪ ڪو به حقيقي نقصان نه ٿئي.

هڪ مناسب ڊي پي اي ۾ مخصوص لازمي شقون شامل هجڻ گهرجن: پروسيسنگ جو موضوع ۽ مدت، پروسيسنگ جي نوعيت ۽ مقصد، ذاتي ڊيٽا جو قسم، ڊيٽا جي مضمونن جا درجا، ۽ ڪنٽرولر جا فرض ۽ حق. ان کي ذيلي پروسيسنگ، ڊيٽا سيڪيورٽي، ۽ ڀڃڪڙي جي اطلاع کي پڻ حل ڪرڻ گهرجي.

قانوني بنياد: آرٽيڪل 28(3) GDPR هڪ DPA جي لازمي مواد کي لسٽ ڪري ٿو. آرٽيڪل 28(4) GDPR ذيلي پروسيسرز لاءِ واضح اختيار جي ضرورت آهي.

حقيقي دنيا جو نتيجو: اي پي تنظيمن کي مناسب ڊي پي اي کان سواءِ پروسيسرز کي شامل ڪرڻ جي منظوري ڏني آهي. جيتوڻيڪ پروسيسر پاڻ تعميل ڪري ٿو، ڪنٽرولر کي اڃا تائين صحيح معاهدي ۾ داخل ٿيڻ ۾ ناڪامي تي جرمانو ٿي سگهي ٿو.

عملي رستو: هڪ معياري ڊي پي اي ٽيمپليٽ استعمال ڪريو جيڪو سڀني آرٽيڪل 28(3) گهرجن کي پورو ڪري. موجوده معاهدن جو جائزو وٺو ته جيئن پڪ ڪري سگهجي ته اهي GDPR جي مطابق آهن. دستخط ٿيل ڊي پي اي کان سواءِ ڪنهن به نئين پروسيسر کي آن بورڊ نه ڪريو.

4. اي اي اي کان ٻاهر ٽئين ملڪن ڏانهن غير قانوني منتقلي (آرٽيڪل 44-49 GDPR ۽ Schrems II)

خطرو: يورپي اقتصادي علائقي (EEA) کان ٻاهر ذاتي ڊيٽا منتقل ڪرڻ تي سخت پابندي آهي. توهان اهو صرف تڏهن ڪري سگهو ٿا جڏهن منزل وارو ملڪ مناسب سطح جو تحفظ فراهم ڪري - يا جيڪڏهن توهان مناسب حفاظتي اپاءَ لاڳو ڪريو.

ڪمپنيون غلط ڇو ٿيون ٿين: ڪيترائي ڪاروبار آمريڪا يا ايشيا ۾ ميزباني ڪيل ڪلائوڊ سروسز، ادائيگي پروسيسرز، يا تجزياتي اوزار استعمال ڪندا آهن بغير اهو سمجهڻ جي ته اهي بين الاقوامي منتقلي جي ضابطن کي متحرڪ ڪري رهيا آهن. جيتوڻيڪ توهان جو معاهدو EU اداري سان آهي، جيڪڏهن ڊيٽا EEA کان ٻاهر محفوظ يا رسائي ڪئي وئي آهي، منتقلي جا ضابطا لاڳو ٿين ٿا.

هن Schrems II فيصلي (ڪيس سي-311/18) يورپي يونين-آمريڪي رازداري شيلڊ کي رد ڪري ڇڏيو ۽ مضبوط ڪيو ته صرف معياري معاهدي جون شقون (ايس سي سي) ڪافي نه آهن. توهان کي منتقلي جي اثر جي تشخيص (ٽي آءِ اي) پڻ ڪرڻ گهرجي ته جيئن اهو جائزو ورتو وڃي ته ڇا منزل ملڪ جا قانون ايس سي سي پاران ضمانت ڏنل تحفظ کي ڪمزور ڪن ٿا.

قانوني بنياد: آرٽيڪل 44-49 GDPR بين الاقوامي منتقلي کي منظم ڪن ٿا. باب V GDPR کي مناسب فيصلا (آرٽيڪل 45) يا مناسب حفاظتي اپاءَ (آرٽيڪل 46) جي ضرورت آهي، جهڙوڪ SCCs.

حقيقي دنيا جو نتيجو: جيڪڏهن مناسب حفاظتي اپاءَ نه آهن ته اي پي توهان کي ٽئين ملڪن ڏانهن ڊيٽا جي منتقلي کي معطل ڪرڻ يا پابندي لڳائڻ جو حڪم ڏئي سگهي ٿي. ڪمپنين کي TIA کان پوءِ آمريڪا ڏانهن ڊيٽا منتقل ڪرڻ جي ڪري لاڳو ڪندڙ ڪارروائي ۽ شهرت کي نقصان جو سامنا ڪيو ويو آهي.Schrems II.

عملي رستو: پنهنجي ڊيٽا فلوز ۾ سڀني ٽئين ملڪ جي منتقلي جي سڃاڻپ ڪريو. چيڪ ڪريو ته ڇا ڪو مناسب فيصلو موجود آهي. جيڪڏهن نه، SCC لاڳو ڪريو ۽ TIA ڪرايو. جيڪڏهن ضرورت هجي ته اضافي قدمن کي دستاويز ڪريو (مثال طور، انڪرپشن، تخلص).

5. ڊيٽا جي تحفظ جي اثر جي تشخيص ڪرڻ ۾ ناڪامي (آرٽيڪل 35 GDPR)

خطرو: ڊيٽا پروٽيڪشن امپيڪٽ اسيسمينٽ (DPIA) لازمي آهي جڏهن ڊيٽا شيئرنگ جي نتيجي ۾ فردن جي حقن ۽ آزادين لاءِ وڏو خطرو هجڻ جو امڪان آهي. ان ۾ ڊيٽا جي خاص قسمن جي وڏي پيماني تي پروسيسنگ، منظم نگراني، يا نئين ٽيڪنالاجي جو استعمال شامل آهي.

ڪمپنيون غلط ڇو ٿيون ٿين: ڪيتريون ئي تنظيمون DPIAs کي اختياري يا صرف "وڏن" منصوبن لاءِ لاڳاپيل سمجهن ٿيون. حقيقت ۾، ٽئين پارٽي تجزياتي پليٽ فارم سان صحت جي ڊيٽا شيئر ڪرڻ، AI تي هلندڙ پروفائلنگ ٽولز کي ترتيب ڏيڻ، يا ڪيترن ئي ذريعن کان ڊيٽاسيٽس کي گڏ ڪرڻ، اهي سڀ DPIA جي گهرج کي متحرڪ ڪري سگهن ٿا.

ڊي پي آءِ اي صرف هڪ باڪس ٽڪنگ مشق ناهي. اهو خطرن جي سڃاڻپ ڪرڻ، انهن جي شدت جو جائزو وٺڻ، ۽ انهن کي گهٽائڻ لاءِ قدمن جو تعين ڪرڻ لاءِ هڪ منظم عمل آهي. جيڪڏهن باقي خطرا وڌيڪ رهن ٿا، ته پوءِ اڳتي وڌڻ کان اڳ توهان کي اي پي سان صلاح ڪرڻ گهرجي.

قانوني بنياد: آرٽيڪل 35 GDPR DPIAs کي اعليٰ خطري واري پروسيسنگ لاءِ لازمي قرار ڏئي ٿو. AP هدايتون شايع ڪيون آهن ته DPIA ڪڏهن گهربل آهي.

حقيقي دنيا جو نتيجو: ضرورت پوڻ تي DPIA ڪرڻ ۾ ناڪامي پاڻ ۾ GDPR جي ڀڃڪڙي آهي. AP تنظيمن تي DPIA مڪمل ڪرڻ کان سواءِ اعليٰ خطري واري ڊيٽا شيئرنگ سان اڳتي وڌڻ تي جرمانو لڳايو آهي، جيتوڻيڪ جڏهن ڪا به حقيقي ڊيٽا جي ڀڃڪڙي نه ٿي هئي.

عملي رستو: DPIA ٽرگرز لاءِ سڀني ڊيٽا شيئرنگ سرگرمين جي اسڪريننگ ڪريو. جڏهن شڪ هجي، هڪ ڪريو. پنهنجي ڊيٽا پروٽيڪشن آفيسر (DPO) کي شامل ڪريو ۽ تشخيص جي عمل کي چڱي طرح دستاويز ڪريو.

6. ڊيٽا جي مضمونن لاءِ ناکافي معلومات (آرٽيڪل 13 ۽ 14 GDPR)

خطرو: شفافيت GDPR جو بنياد آهي. جڏهن به توهان ذاتي ڊيٽا گڏ ڪندا آهيو يا شيئر ڪندا آهيو، توهان کي ڊيٽا جي مضمونن کي آگاهي ڏيڻ گهرجي ته ڪير انهن جو ڊيٽا وصول ڪندو، ڪهڙي مقصد لاءِ، ۽ ڪهڙي قانوني بنياد تي.

ڪمپنيون غلط ڇو ٿيون ٿين: رازداري جا نوٽيس اڪثر مبهم يا پراڻا هوندا آهن. "اسان توهان جو ڊيٽا قابل اعتماد ڀائيوارن سان شيئر ڪري سگهون ٿا" جهڙا جملا ان کي ڪٽي نه ٿا سگهن. توهان کي وصول ڪندڙن جي زمرن کي بيان ڪرڻ گهرجي (مثال طور، "ڪلائوڊ هوسٽنگ فراهم ڪندڙ،" "مارڪيٽنگ ايجنسيون") ۽، جتي لاڳاپيل هجي، انهن جو نالو ڏيو.

جڏهن ڊيٽا اڻ سڌي طرح حاصل ڪئي ويندي آهي - مثال طور، ڊيٽا بروڪر يا ٻئي ڪنٽرولر کان - آرٽيڪل 14 GDPR اضافي معلومات جي ذميواريون لاڳو ڪري ٿو، جنهن ۾ ڊيٽا جو ذريعو به شامل آهي.

قانوني بنياد: آرٽيڪل 13 ۽ 14 GDPR انهن معلومات کي لسٽ ڪن ٿا جيڪي ڊيٽا جي مضمونن کي فراهم ڪرڻ گهرجن. آرٽيڪل 5(1)(a) GDPR سڀني پروسيسنگ سرگرمين ۾ شفافيت جي ضرورت آهي.

حقيقي دنيا جو نتيجو: اي پي ڪمپنين کي ماڻهن کي اهو نه ٻڌائڻ تي پابندي لڳائي آهي ته انهن جو ڊيٽا ٽئين پارٽين سان شيئر ڪيو پيو وڃي. جيتوڻيڪ شيئرنگ پاڻ ۾ قانوني هئي، ناقص شفافيت هڪ الڳ خلاف ورزي آهي.

عملي رستو: ڊيٽا شيئرنگ جي طريقن کي واضح طور تي بيان ڪرڻ لاءِ پنهنجي رازداري نوٽيسن جو جائزو وٺو ۽ تازه ڪاري ڪريو. پڪ ڪريو ته نوٽيس آساني سان رسائي لائق ۽ سادي ٻولي ۾ لکيل آهن. نون ڀائيوارن سان ڊيٽا شيئر ڪرڻ وقت، شيئرنگ شروع ٿيڻ کان اڳ پنهنجا نوٽيس اپڊيٽ ڪريو.

7. سيڪيورٽي جي غلط احساس جي طور تي تخلص

خطرو: سيڪيورٽي ماپ جي طور تي GDPR تحت تخلص - سڌي سڃاڻپ ڪندڙ کي ڪوڊ يا ٽوڪن سان تبديل ڪرڻ - جي حوصلا افزائي ڪئي وئي آهي. پر اهو ڊيٽا کي گمنام نٿو بڻائي. جيڪڏهن ڊيٽا اڃا تائين ڪنهن فرد سان واپس ڳنڍيل ٿي سگهي ٿو، اهو ذاتي ڊيٽا رهي ٿو ۽ GDPR جي مڪمل دائري جي تابع آهي.

ڪمپنيون غلط ڇو ٿيون ٿين: ڪاروبار اڪثر اهو فرض ڪندا آهن ته تخلص وارو ڊيٽا بغير ڪنهن پابندي جي شيئر ڪرڻ لاءِ "محفوظ" آهي. عملي طور تي، تخلص وارو ڊيٽا صرف خطري کي گهٽائي ٿو؛ اهو ان کي ختم نٿو ڪري. جيڪڏهن توهان تخلص وارو ڊيٽا ڪنهن پارٽنر سان شيئر ڪريو ٿا جنهن وٽ ڪي يا ٻين ڊيٽاسيٽس تائين رسائي آهي جيڪي ٻيهر سڃاڻپ کي فعال ڪن ٿا، توهان اڃا تائين ذاتي ڊيٽا پروسيس ڪري رهيا آهيو.

قانوني بنياد: آرٽيڪل 4(5) GDPR تخلص جي تعريف ڪري ٿو. تلاوت 26 GDPR واضح ڪري ٿو ته تخلص ڊيٽا ذاتي ڊيٽا رهي ٿو جيستائين اهو واقعي گمنام نه هجي (يعني، ڪنهن به معقول طريقي سان ٻيهر سڃاڻپ ممڪن ناهي).

حقيقي دنيا جو نتيجو: اي پي هدايتن ۾ واضح ڪيو آهي ته تخلص "جيل مان آزاد ٿيڻ" ڪارڊ ناهي. جيڪڏهن ٻيهر سڃاڻپ ممڪن آهي، ته سڀئي GDPR ذميواريون لاڳو ٿين ٿيون، جن ۾ قانوني بنياد هجڻ، DPIAs ڪرڻ، ۽ مناسب سيڪيورٽي کي يقيني بڻائڻ شامل آهن.

عملي رستو: تخلص واري ڊيٽا کي ذاتي ڊيٽا طور سمجهيو جيستائين توهان ماهرن پاران تصديق ٿيل سخت گمنامي جي عمل مان نه گذريو آهي. ٻيهر سڃاڻپ کي روڪڻ لاءِ موجود ٽيڪنيڪل ۽ تنظيمي قدمن کي دستاويز ڪريو.

وچان وچان سوال ڪرڻ

GDPR تحت ڊيٽا شيئرنگ جي اجازت ڪڏهن آهي؟

ڊيٽا شيئرنگ صرف تڏهن جائز آهي جڏهن توهان وٽ آرٽيڪل 6 GDPR جي تحت هڪ صحيح قانوني بنياد آهي. ڇهه قانوني بنياد آهن: رضامندي، معاهدي جي ضرورت، قانوني ذميواري، اهم مفاد، عوامي ڪم، ۽ جائز مفاد. توهان کي قانونيت، انصاف، شفافيت، مقصد جي حد بندي، ڊيٽا کي گھٽ ڪرڻ، درستگي، اسٽوريج جي حد بندي، سالميت، ۽ رازداري جي اصولن جي پڻ تعميل ڪرڻ گهرجي (آرٽيڪل 5 GDPR). عملي طور تي، ان جو مطلب آهي واضح طور تي دستاويز ڪرڻ ته توهان ڊيٽا ڇو شيئر ڪري رهيا آهيو، يقيني بڻائڻ ته مقصد ان سان مطابقت رکي ٿو ڇو توهان اصل ۾ ان کي گڏ ڪيو، ۽ ڊيٽا جي مضمونن کي شيئرنگ بابت آگاهي ڏيڻ.

ڪنٽرولر ۽ پروسيسر ۾ ڪهڙو فرق آهي؟

A ڪنٽرولر ذاتي ڊيٽا جي پروسيسنگ جا مقصد ۽ ذريعا طئي ڪري ٿو. الف پروسيسر ڪنٽرولر جي طرفان ڊيٽا کي مخصوص هدايتن تحت پروسيس ڪري ٿو. هي فرق اهم آهي ڇاڪاڻ ته ڪنٽرولر بنيادي طور تي GDPR جي تعميل جا ذميوار آهن، جڏهن ته پروسيسرز جون وڌيڪ محدود ذميواريون آهن (خاص طور تي سيڪيورٽي ۽ رازداري کي يقيني بڻائڻ). جيڪڏهن توهان ڪنهن سپلائر سان ڊيٽا شيئر ڪري رهيا آهيو جيڪو ان کي توهان جي هدايتن تي پروسيس ڪري ٿو - مثال طور، هڪ پگهار فراهم ڪندڙ يا ڪلائوڊ اسٽوريج سروس - اهي عام طور تي هڪ پروسيسر آهن. جيڪڏهن اهي اهو به فيصلو ڪن ٿا ته ڊيٽا کي پنهنجن مقصدن لاءِ ڪيئن استعمال ڪجي، ته اهي هڪ (گڏيل) ڪنٽرولر ٿي سگهن ٿا. ڪردارن جي غلط سڃاڻپ احتساب ۾ خلا ۽ خلاف ورزين لاءِ گڏيل ذميواري جو سبب بڻجي سگهي ٿي.

ڊيٽا پروسيسنگ معاهدو (DPA) ڪڏهن لازمي آهي؟

جڏهن به توهان پنهنجي طرفان ذاتي ڊيٽا کي سنڀالڻ لاءِ پروسيسر کي استعمال ڪندا آهيو ته هڪ DPA لازمي آهي (آرٽيڪل 28 GDPR). اهو توهان جي تنظيم جي سائيز يا شامل ڊيٽا جي مقدار کان سواءِ لاڳو ٿئي ٿو. DPA لکت ۾ هجڻ گهرجي ۽ ان ۾ مخصوص لازمي شقون شامل هجن، جهڙوڪ موضوع ۽ پروسيسنگ جي مدت، نوعيت ۽ مقصد، ڊيٽا جا قسم ۽ ڊيٽا مضمونن جا زمرا، ۽ سيڪيورٽي، خلاف ورزي جي اطلاع، ۽ ذيلي پروسيسنگ جي حوالي سان ٻنهي ڌرين جون ذميواريون. هڪ تعميل ڪندڙ DPA کان سواءِ، توهان پروسيسر جي پروسيسنگ شروع ٿيڻ کان ئي خلاف ورزي ۾ آهيو، جيتوڻيڪ ڪو به نقصان نه ٿئي.

ڇا مان يورپي يونين کان ٻاهر ڪنهن پارٽي سان گراهڪ ڊيٽا شيئر ڪري سگهان ٿو؟

ها، پر صرف ان صورت ۾ جڏهن سخت شرطون پوريون ٿين. آرٽيڪل 44-49 GDPR جي تحت، توهان ڊيٽا ٽئين ملڪ ڏانهن منتقل ڪري سگهو ٿا جيڪڏهن: (a) يورپي ڪميشن ان ملڪ لاءِ مناسب فيصلو جاري ڪيو آهي، يا (b) توهان مناسب حفاظتي اپاءَ ورتا آهن، جهڙوڪ معياري معاهدي جون شقون (SCCs). پٺيان Schrems II فيصلي جي مطابق، توهان کي منتقلي جي اثر جي تشخيص (TIA) پڻ ڪرڻ گهرجي ته جيئن اهو جائزو ورتو وڃي ته ڇا منزل ملڪ جا قانون (مثال طور، سرڪاري نگراني) SCCs پاران ضمانت ڏنل تحفظ کي ڪمزور ڪن ٿا. جيڪڏهن خطرا برقرار رهن ٿا، ته توهان کي اضافي قدمن کي لاڳو ڪرڻ گهرجي، جهڙوڪ انڪرپشن يا ڊيٽا کي گهٽائڻ. مناسب حفاظتي اپائن کان سواءِ منتقلي AP پاران لاڳو ڪندڙ ڪارروائي جو نتيجو ٿي سگهي ٿي، جنهن ۾ منتقلي جي معطلي شامل آهي.

ڊيٽا شيئرنگ لاءِ DPIA ڪڏهن گهربل آهي؟

آرٽيڪل 35 GDPR تحت DPIA لازمي آهي جڏهن پروسيسنگ فردن جي حقن ۽ آزادين لاءِ وڏو خطرو پيدا ڪرڻ جو امڪان آهي. ان ۾ شامل آهن: ڊيٽا جي خاص قسمن جي وڏي پيماني تي پروسيسنگ (مثال طور، صحت، بايوميٽرڪ، جينياتي ڊيٽا)، عوامي طور تي رسائي وارن علائقن جي منظم نگراني، قانوني يا ساڳئي طرح اهم اثرن سان خودڪار فيصلو سازي، ۽ نئين ٽيڪنالاجي جو استعمال. ڊيٽا شيئر ڪرڻ وقت، DPIA اڪثر گهربل هوندو آهي جيڪڏهن توهان ڊيٽا سيٽ گڏ ڪري رهيا آهيو، حساس معلومات شيئر ڪري رهيا آهيو، يا پروفائلنگ يا AI-driven اينالائيٽڪس لاءِ ڊيٽا استعمال ڪري رهيا آهيو. AP پروسيسنگ آپريشنز جي هڪ فهرست شايع ڪئي آهي جنهن لاءِ DPIA جي ضرورت آهي. جيڪڏهن شڪ ۾، هڪ ڪريو - معاف ڪرڻ کان محفوظ رهڻ بهتر آهي.

GDPR جي ڀڃڪڙي ڪرڻ تي ڪمپنين کي ڪهڙا جرمانا ٿي سگهن ٿا؟

GDPR ٻن درجن جي ڏنڊ جي لاءِ مهيا ڪري ٿو. هيٺيون درجو - €10 ملين تائين يا عالمي سالياني ٽرن اوور جو 2٪ - خلاف ورزين تي لاڳو ٿئي ٿو جهڙوڪ مناسب سيڪيورٽي قدمن کي لاڳو ڪرڻ ۾ ناڪامي يا ضرورت پوڻ تي DPIA نه ڪرڻ. اعليٰ درجو - €20 ملين تائين يا عالمي سالياني ٽرن اوور جو 4٪ - وڌيڪ سنگين خلاف ورزين تي لاڳو ٿئي ٿو، جنهن ۾ پروسيسنگ لاءِ قانوني بنياد جي کوٽ، غير قانوني بين الاقوامي منتقلي، يا ڊيٽا جي مضمونن جي حقن جي خلاف ورزي شامل آهي. AP جرماني جي رقم کي عنصرن جي بنياد تي طئي ڪري ٿو جنهن ۾ خلاف ورزي جي نوعيت ۽ شدت شامل آهي، ڇا اهو ارادي طور تي هو يا لاپرواهي، متاثر ٿيل ماڻهن جو تعداد، ۽ ڪنهن به گهٽتائي واري ڪارروائي ڪئي وئي. تازي لاڳو ڪرڻ ڏيکاري ٿو ته AP خاص طور تي منظم يا جان بوجھ ڪري خلاف ورزين لاءِ، خاص طور تي منظم يا جان بوجھ ڪري خلاف ورزين لاءِ، خاص طور تي اهم جرمانو لاڳو ڪرڻ لاءِ تيار آهي.

ڇا فرضي ڊيٽا هميشه شيئر ڪرڻ لاءِ محفوظ آهي؟

نه. تخلص خطري کي گھٽائي ٿو پر ان کي ختم نٿو ڪري. آرٽيڪل 4(5) GDPR جي تحت، تخلص جو مطلب آهي سڌي سڃاڻپ ڪندڙ (جهڙوڪ نالا) کي ڪوڊ يا تخلص سان تبديل ڪرڻ. جڏهن ته، جيڪڏهن ڊيٽا اڃا تائين ڪنهن فرد سان واپس ڳنڍي سگهجي ٿو - مثال طور، توهان يا وصول ڪندڙ طرفان رکيل اضافي معلومات استعمال ڪندي - اهو ذاتي ڊيٽا رهي ٿو ۽ مڪمل طور تي GDPR جي تابع آهي. ان جو مطلب آهي ته توهان کي اڃا تائين قانوني بنياد جي ضرورت آهي، ڊيٽا جي مضمونن کي آگاهي ڏيڻ گهرجي، ۽ مناسب سيڪيورٽي کي يقيني بڻائڻ گهرجي. صرف سچي گمنام - جتي ٻيهر سڃاڻپ هاڻي ڪنهن به معقول طريقي سان ممڪن ناهي - GDPR جي دائري مان ڊيٽا کي هٽائي ٿو. عملي طور تي، حقيقي گمنام حاصل ڪرڻ ڏکيو آهي ۽ ماهر جي تصديق جي ضرورت آهي.

جيڪڏهن منهنجي ڪاروبار ۾ غير قانوني ڊيٽا شيئرنگ جي ڪري ڊيٽا جي ڀڃڪڙي ٿئي ته مون کي ڇا ڪرڻ گهرجي؟

جيڪڏهن توهان کي ذاتي ڊيٽا جي ڀڃڪڙي ملي ٿي - جنهن ۾ غير قانوني ڊيٽا شيئرنگ جي ڪري هڪ به شامل آهي - ته توهان وٽ آهي 72 ڪلاڪ آرٽيڪل 33 GDPR جي تحت AP کي اطلاع ڏيڻ (جيستائين خلاف ورزي فردن جي حقن ۽ آزادين لاءِ خطرو پيدا ڪرڻ جو امڪان نه هجي). جيڪڏهن خلاف ورزي جي نتيجي ۾ انهن لاءِ وڏو خطرو پيدا ٿيڻ جو امڪان آهي ته توهان کي متاثر ٿيل فردن کي بغير ڪنهن دير جي اطلاع ڏيڻ گهرجي (آرٽيڪل 34 GDPR). فوري قدمن ۾ شامل آهن: خلاف ورزي کي روڪڻ، ان جي دائري ۽ اثر جو جائزو وٺڻ، ڇا ٿيو ۽ توهان ان بابت ڇا ڪري رهيا آهيو ان کي دستاويز ڪرڻ، ۽ AP کي انهن جي آن لائن پورٽل ذريعي اطلاع ڏيڻ. اطلاع ڏيڻ ۾ ناڪامي جي نتيجي ۾ هڪ الڳ جرمانو ٿي سگهي ٿو. AP اهو جائزو وٺندو ته ڇا ڀڃڪڙي جي شدت ۽ توهان جي جواب جي بنياد تي لاڳو ڪندڙ ڪارروائي جي ضرورت آهي.

پنهنجي ڪاروبار جي حفاظت ڪريو - ماهر قانوني رهنمائي حاصل ڪريو

ڊيٽا شيئرنگ ناگزير آهي، پر GDPR جي ڀڃڪڙيون هجڻ ضروري نه آهن. مٿي بيان ڪيل ست خطرا نظرياتي نه آهن - اهي حقيقي لاڳو ڪندڙ ڪيسن، عدالتي فيصلن، ۽ ريگيوليٽري هدايتن مان نڪتل آهن. انهن مان هر هڪ جي نتيجي ۾ جرمانو، ذميواري جي دعوائن، ۽ شهرت کي نقصان پهچي سگهي ٿو.

سٺي خبر؟ صحيح قانوني فريم ورڪ، واضح دستاويز، ۽ فعال تعميل جي قدمن سان، توهان اعتماد ۽ قانوني طور تي ڊيٽا شيئر ڪري سگهو ٿا. پر ان کي صحيح ڪرڻ لاءِ عام صلاح کان وڌيڪ جي ضرورت آهي - ان کي ترتيب ڏنل قانوني مدد جي ضرورت آهي جيڪا توهان جي ڪاروبار، توهان جي ڊيٽا جي وهڪري، ۽ توهان کي منهن ڏيڻ وارن مخصوص خطرن کي سمجهي.

اي پي جي اچڻ جو انتظار نه ڪريو. جيڪڏهن توهان کي پڪ ناهي ته توهان جا ڊيٽا شيئرنگ طريقا GDPR جي مطابق آهن، يا جيڪڏهن توهان کي DPAs تيار ڪرڻ، DPIAs ڪرڻ، يا بين الاقوامي منتقلي کي منظم ڪرڻ ۾ مدد جي ضرورت آهي، ته هڪ ماهر رازداري وڪيل سان رابطو ڪريو. توهان جو ڪاروبار - ۽ توهان جا گراهڪ - ڪنهن به شيءِ کان گهٽ مستحق نه آهن.