هالينڊ ۾ ڊيٽا جي ڀڃڪڙي هر روز ٿيندي آهي. جڏهن اهي ٿين ٿا، ڪنهن کي وٺڻ گهرجي ذميواريون.
ڊچ قانون ۽ GDPR جي تحت، تنظيمون جيڪي ذاتي ڊيٽا کي ڪنٽرول ڪن ٿيون، بنيادي طور تي ان جي حفاظت ۽ منهن ڏيڻ جا ذميوار آهن اهم ذميواري جڏهن ڀڃڪڙيون ٿين ٿيون. جيڪڏهن توهان جو ڪاروبار متاثر ٿئي ٿو cyberattack، توهان کي €20 ملين تائين يا توهان جي عالمي سالياني ٽرن اوور جو 4٪ جرمانو ٿي سگهي ٿو، ان تي منحصر آهي ته ڪهڙي رقم وڌيڪ آهي.
هالينڊ ۾ ڪم ڪندڙ ڪنهن به تنظيم لاءِ ڊيٽا جي ڀڃڪڙي کان پوءِ ذميواري ڪير کڻندو اهو سمجهڻ ضروري آهي. جواب هميشه سڌو نه هوندو آهي، ڇاڪاڻ ته ذميواري توهان جي ڪمپني کان ٻاهر ٽئين پارٽي سروس فراهم ڪندڙن، ملازمن، ۽ ڊيٽا پروسيسنگ ۾ شامل ٻين ڌرين کي شامل ڪري سگهي ٿي.
ڊچ ڊيٽا پروٽيڪشن اٿارٽي ۽ ٻيا ريگيوليٽر توهان جي ڊيٽا ڪنٽرولر يا پروسيسر جي ڪردار، توهان جي طرفان اختيار ڪيل سيڪيورٽي قدمن، ۽ توهان واقعي تي ڪيتري جلدي جواب ڏنو، جي بنياد تي ذميواري جو تعين ڪندا آهن.
هي مضمون هالينڊ ۾ سائبر سيڪيورٽي کي سنڀاليندڙ قانوني فريم ورڪ کي ٽوڙي ٿو ۽ وضاحت ڪري ٿو ته ڀڃڪڙي کان پوءِ ذميواري ڪيئن مقرر ڪئي ويندي آهي. توهان پنهنجي نوٽيفڪيشن جي ذميدارين، غير تعميل لاءِ توهان کي منهن ڏيڻ وارين سزائن، ۽ پنهنجي تنظيم کي سائبر حملي ۽ قانوني نتيجن ٻنهي کان بچائڻ لاءِ عملي قدمن بابت سکندا.
سائبر سيڪيورٽي ۽ ڊيٽا جي تحفظ لاءِ قانوني فريم ورڪ
نيدرلينڊ سائبر سيڪيورٽي ۽ ڊيٽا تحفظ جي قانون سازي جي ڪيترن ئي پرتن هيٺ ڪم ڪري ٿو، يورپي يونين جي وسيع ضابطن کي قومي لاڳو ڪندڙ قانونن سان گڏ ڪري ٿو. اهي قانون ذاتي ڊيٽا کي سنڀالڻ ۽ نازڪ انفراسٽرڪچر هلائڻ واري تنظيمن لاءِ واضح ذميواريون قائم ڪن ٿا.
اهي مختلف شعبن لاءِ مخصوص گهرجون پيدا ڪن ٿا جن ۾ ٽيليڪميونيڪيشن، فنانس، ۽ قانون نافذ ڪرڻ.
جنرل ڊيٽا پروٽيڪشن ريگيوليشن (GDPR) ۽ ڊچ عملدرآمد
هن GDPR بنيادي طور ڪم ڪري ٿو ڊيٽا تحفظ جو فريم ورڪ هالينڊ سميت سڄي يورپي يونين ۾. اهو ذاتي ڊيٽا جي پروسيسنگ لاءِ جامع قاعدا قائم ڪري ٿو ۽ تنظيمن کي معلومات جي حفاظت لاءِ مناسب ٽيڪنيڪل ۽ تنظيمي قدمن کي لاڳو ڪرڻ جي ضرورت آهي.
هالينڊ GDPR لاڳو ڪيو ذريعي ڊچ GDPR عملدرآمد ايڪٽ (سراسري سراسري)، جيڪو يورپي يونين جي گهرجن کي ڊچ قانون سان مطابقت رکي ٿو. هي ايڪٽ قومي حالتن لاءِ مخصوص ضابطا فراهم ڪري ٿو جڏهن ته يورپي معيارن سان مطابقت برقرار رکي ٿو.
اهو ڊچ ڊيٽا پروٽيڪشن اٿارٽي کي نامزد ڪري ٿو (Autoriteit Persononsgegevens) لاڳو ڪرڻ جي ذميوار نگران اداري جي طور تي.
GDPR جي تحت، توهان کي رپورٽ ڪرڻ گهرجي ڊيٽا جي ڀڃڪڙي انهن جي خبر پوڻ جي 72 ڪلاڪن اندر نگران اختياريءَ کي. جڏهن خلاف ورزيون فردن جي حقن ۽ آزادين لاءِ وڏا خطرا پيدا ڪن ٿيون، ته توهان کي متاثر ٿيل ماڻهن کي بغير ڪنهن دير جي اطلاع ڏيڻ گهرجي.
اهي نوٽيفڪيشن گهرجون هالينڊ ۾ خلاف ورزي جي ذميواري جو بنياد بڻجن ٿيون.
هن Verzamelwet Gegevensbescherming (گڏيل ڊيٽا تحفظ ايڪٽ) GDPR معيارن سان مطابقت پيدا ڪرڻ لاءِ مختلف ڊچ قانونن کي وڌيڪ بهتر بڻائي ٿو. هي مختلف قانوني ڊومينز ۾ تسلسل کي يقيني بڻائي ٿو.
سائبر سيڪيورٽي ايڪٽ ۽ NIS2 هدايت
هن NIS2 هدايت يورپي يونين ۾ ضروري ۽ اهم ادارن لاءِ سائبر سيڪيورٽي گهرجن کي خاص طور تي وڌائي ٿو. هالينڊ هن هدايت کي اپڊيٽ ذريعي لاڳو ڪري رهيو آهي سائبر بيويلگنگسويٽ (ڊچ سائبر سيڪيورٽي ايڪٽ)، جنهن اصل ۾ پهرين اين آءِ ايس هدايت کي منتقل ڪيو.
NIS2 ڍڪيل شعبن جي دائري کي وسيع ڪري ٿو ۽ سخت سيڪيورٽي گهرجن، واقعن جي رپورٽنگ جي ذميوارين، ۽ انتظامي جوابدهي جي ضابطن کي متعارف ڪرائي ٿو. توهان کي مخصوص خطري جي انتظام جي قدمن کي لاڳو ڪرڻ گهرجي ۽ اهم واقعن جي ڄاڻ حاصل ڪرڻ جي 24 ڪلاڪن اندر رپورٽ ڪرڻ گهرجي.
هن نيٽ ورڪ ۽ انفارميشن سسٽم سيڪيورٽي ايڪٽ ۽ گڏو گڏ نيٽ ورڪ ۽ انفارميشن سسٽم سيڪيورٽي فرمان ضروري خدمتن جي آپريٽرز ۽ ڊجيٽل سروس فراهم ڪندڙن لاءِ تفصيلي گهرجون قائم ڪن ٿيون. اهي قانون بنيادي سيڪيورٽي قدمن، باقاعده آڊٽ، ۽ قومي سائبر سيڪيورٽي اختيارين سان هم آهنگي کي لازمي بڻائين ٿا.
قانون سازي مختلف شعبن لاءِ مخصوص مجاز اختيارين کي مقرر ڪري ٿي. هي سائبر سيڪيورٽي جي طريقن جي خاص نگراني کي يقيني بڻائي ٿو.
ٻيا لاڳاپيل قانون ۽ هدايتون
هن يورپي يونين جي اي-پرائيويسي هدايت اليڪٽرانڪ ڪميونيڪيشن رازداري کي خطاب ڪندي GDPR کي پورو ڪري ٿو. ان کي ڪوڪيز ۽ ساڳين ٽيڪنالاجيز لاءِ رضامندي جي ضرورت آهي، ۽ ڪميونيڪيشن ڊيٽا جي رازداري جي حفاظت ڪري ٿو.
هن ٽيليڪميونيڪيشن ايڪٽ (ٽيليڪامنٽ) ٽيليڪام فراهم ڪندڙن تي مخصوص سيڪيورٽي ذميواريون لاڳو ڪري ٿو، جنهن ۾ نيٽ ورڪ سالميت ۽ صارف جي ڊيٽا جي حفاظت لاءِ گهرجون شامل آهن. هي ايڪٽ ڊيٽا تحفظ جي قانونن سان گڏ ڪم ڪري ٿو ته جيئن مواصلاتي شعبي ۾ جامع تحفظ کي يقيني بڻائي سگهجي.
هن نازڪ ادارن جي لچڪ وارو قانون (CRA) عوامي حفاظت ۽ معاشي استحڪام لاءِ اهم سمجهيل ادارن لاءِ جسماني ۽ سائبر سيڪيورٽي گهرجن کي مضبوط ڪري ٿو. ان کي معياري سائبر سيڪيورٽي ضابطن کان ٻاهر خطري جي تشخيص ۽ لچڪدار قدمن جي ضرورت آهي.
اهي فريم ورڪ اوورليپنگ ذميواريون پيدا ڪن ٿا. توهان کي انهن کي نيويگيٽ ڪرڻ گهرجي جڏهن ڪيترن ئي شعبن ۾ ڪم ڪندا آهيو يا مختلف قسمن جي ڊيٽا کي سنڀاليندا آهيو.
شعبي جي مخصوص ضابطن
هن مالي نگراني ايڪٽ (Wet op het financieel toezicht) مالي ادارن لاءِ سخت سائبر سيڪيورٽي ۽ ڊيٽا تحفظ جون گهرجون قائم ڪري ٿو. مالي شعبي ۾ ڪم ڪندي توهان کي مضبوط سيڪيورٽي ڪنٽرول، واقعن جي جواب جي طريقيڪار، ۽ باقاعده ٽيسٽنگ پروٽوڪول لاڳو ڪرڻ گهرجن.
قانون لاڳو ڪندڙ ادارا خاص گهرجن کي منهن ڏين ٿا پوليس ڊيٽا ايڪٽ (ويٽ پاليسي گيونس) ۽ ويٽ justitiële en strafvorderlijke gegevens (عدالتي ۽ فوجداري طريقيڪار ڊيٽا ايڪٽ). اهي قانون حڪومت ڪن ٿا ته پوليس ۽ عدالتي اختيارين جاچ ۽ فوجداري ڪارروائي دوران ذاتي ڊيٽا ڪيئن گڏ ڪن ٿا، پروسيس ڪن ٿا ۽ محفوظ ڪن ٿا.
صحت جي سار سنڀال فراهم ڪندڙن کي معياري GDPR گهرجن کان ٻاهر اضافي رازداري جي حفاظت جي تعميل ڪرڻ گهرجي. هي طبي معلومات جي حساس نوعيت کي ظاهر ڪري ٿو.
توانائي، ٽرانسپورٽ، ۽ پاڻي جا شعبا NIS2 جي عملدرآمد جي تحت مخصوص ذميدارين کي منهن ڏين ٿا، انهن جي آپريشنل خطرن جي مطابق مناسب حفاظتي قدمن سان.
هر شعبي جي مخصوص ضابطي ۾ منفرد تعميل جا بار لاڳو ٿين ٿا. اهو ضروري آهي ته سڃاڻپ ڪئي وڃي ته ڪهڙا قانون توهان جي تنظيم جي مخصوص سرگرمين ۽ ڊيٽا پروسيسنگ آپريشنز تي لاڳو ٿين ٿا.
ڊيٽا جي ڀڃڪڙي کان پوءِ ذميواري مقرر ڪرڻ
هالينڊ ۾، ڊيٽا جي ڀڃڪڙي جي ذميواري ذاتي ڊيٽا جي پروسيسنگ ۾ توهان جي ڪردار تي منحصر آهي، حفاظتي قدم توهان لاڳو ڪيو، ۽ ڇا توهان رپورٽنگ جي گهرجن تي عمل ڪيو. ڊچ ڊيٽا پروٽيڪشن اٿارٽي ۽ ٻيا نگران ادارا ذميواري جو تعين ڪن ٿا قانوني ذميواريون GDPR ۽ قومي سائبر سيڪيورٽي قانونن جي تحت.
ذميواري جي تعريف: ڪنٽرولر، پروسيسر، ۽ ٽئين پارٽيون
توهان جي ذميواري هڪ کان پوءِ ذاتي ڊيٽا جي ڀڃڪڙي ان تي منحصر آهي ته ڇا توهان هڪ طور ڪم ڪندا آهيو ڊيٽا ڪنٽرولر يا پروسيسر. ڪنٽرولر فيصلو ڪن ٿا ته ذاتي ڊيٽا ڪيئن ۽ ڇو پروسيس ڪئي وڃي ٿي، انهن کي بنيادي طور تي سيڪيورٽي واقعن لاءِ ذميوار بڻائي ٿو.
پروسيسر ڪنٽرولرز جي طرفان ڊيٽا کي سنڀاليندا آهن ۽ جيڪڏهن اهي هدايتن کان وڌي وڃن يا مناسب حفاظتي قدمن کي لاڳو ڪرڻ ۾ ناڪام ٿين ته انهن کي ذميواري جو منهن ڏسڻو پوندو.
ٽئين پارٽيون جهڙوڪ ڊجيٽل سروس فراهم ڪندڙ الڳ الڳ ذميواريون کڻندا آهن. جيڪڏهن توهان ٻاهرين سپلائرز استعمال ڪندا آهيو، ته توهان انهن جي عملن لاءِ ذميوار رهندا آهيو جڏهن اهي توهان جي طرفان ڊيٽا پروسيس ڪندا آهن.
توهان جي معاهدن ۾ سيڪيورٽي ذميواريون ۽ واقعن کي سنڀالڻ جا طريقا بيان ڪرڻ گهرجن.
جڏهن ڪيتريون ئي پارٽيون شامل هجن، ته ذميواري شيئر ڪري سگهجي ٿي. جيڪڏهن توهان ۽ توهان جو پروسيسر ٻئي ٽيڪنيڪل ۽ تنظيمي قدمن کي لاڳو ڪرڻ ۾ ناڪام ٿيا، ته توهان ٻنهي کي Autoriteit Persoonsgegevens کان سزا جو منهن ڏسڻو پئجي سگهي ٿو.
نگران اختيار ذميواري تفويض ڪرڻ لاءِ خلاف ورزي ۾ هر پارٽي جي ڪردار جي جانچ ڪري ٿو.
نگران اختياريون ۽ ريگيوليٽري ڪردار
Autoriteit Persoonsgegevens ڊچ ڊيٽا پروٽيڪشن اٿارٽي جي طور تي ڪم ڪري ٿو جيڪو GDPR جي تعميل کي لاڳو ڪرڻ جو ذميوار آهي. توهان کي واقعي جي خبر پوڻ جي 72 ڪلاڪن اندر هن نگران اختيار کي ذاتي ڊيٽا جي ڀڃڪڙي جي رپورٽ ڪرڻ گهرجي.
واقعي جي رپورٽنگ جي آخري تاريخن کي پورو ڪرڻ ۾ ناڪامي توهان جي ذميواري وڌائي ٿي.
نيشنل سائبر سيڪيورٽي سينٽر (NCSC) وسيع تر انتظام ڪري ٿو سائبر سيڪيورٽي خطرو ضروري خدمتن جي آپريٽرن کي متاثر ڪرڻ. جيڪڏهن توهان نازڪ انفراسٽرڪچر يا ڊجيٽل خدمتون فراهم ڪندا آهيو، ته توهان کي اهم سيڪيورٽي واقعن جي رپورٽ پڻ NCSC کي ڪرڻ گهرجي.
اهي رپورٽون سائبر خطرن جي قومي جوابن کي هم آهنگ ڪرڻ ۾ مدد ڪن ٿيون.
ٻئي اختياريون سيڪيورٽي واقعن کان پوءِ جاچ ڪن ٿيون. آٽورائيٽ پرسون گيونس €20 ملين يا توهان جي سالياني عالمي ٽرن اوور جو 4٪، جيڪو به وڌيڪ هجي، تائين جرمانو جاري ڪري سگهن ٿا.
اهي خلاف ورزي جي نوعيت، متاثر ٿيل ماڻهن جو تعداد، ۽ توهان جي جوابي قدمن جهڙن عنصرن تي غور ڪن ٿا.
ENISA جي هدايتن تي اثر انداز ٿئي ٿو ته ڊچ اختيارين سائبر سيڪيورٽي گهرجن سان توهان جي تعميل جو جائزو ڪيئن وٺن ٿا.
تنظيمي ۽ ٽيڪنيڪل اپاءَ
توهان جي ٽيڪنيڪل ۽ تنظيمي قدمن تي عمل درآمد سڌو سنئون ذميواري جي تعين تي اثر انداز ٿئي ٿو. انهن قدمن ۾ انڪرپشن، رسائي ڪنٽرول، باقاعده سيڪيورٽي ٽيسٽنگ، ۽ عملي جي تربيت شامل آهن.
عدالتون ۽ نگران اختيار جائزو وٺندا آهن ته ڇا توهان جي سيڪيورٽي شامل خطرن لاءِ مناسب هئي.
توهان کي پنهنجي حفاظتي قدمن کي دستاويز ڪرڻ گهرجي ۽ ڪاروباري تسلسل جي منصوبابندي جو مظاهرو ڪرڻ گهرجي. جيڪڏهن توهان مناسب احتياطي تدبيرون ثابت نه ڪري سگهو ٿا، ته ذميواري ڪافي حد تائين وڌي ويندي آهي.
باقاعدي خطري جي تشخيص توهان کي خلاف ورزين ٿيڻ کان اڳ ڪمزورين جي سڃاڻپ ڪرڻ ۾ مدد ڪري ٿي.
حادثن کي سنڀالڻ جا طريقا اهم آهن. توهان کي ذاتي ڊيٽا جي ڀڃڪڙين کي ڳولڻ، جاچ ڪرڻ ۽ جواب ڏيڻ لاءِ واضح پروٽوڪول جي ضرورت آهي.
سيڪيورٽي واقعن کي روڪڻ ۾ توهان جو جوابي وقت ۽ اثرائتي سزا جي فيصلن تي اثر انداز ٿئي ٿي.
آٽورائيت پرسون گيوينٽس توهان کان توقع رکي ٿو ته توهان پنهنجي سيڪيورٽي فريم ورڪ جا ثبوت برقرار رکون. مناسب دستاويزن کان سواءِ، جاچ دوران معقول خيال ثابت ڪرڻ ڏکيو ٿي ويندو آهي.
سپلائي چين ۽ سروس فراهم ڪندڙن جو اثر
سپلائي چين سيڪيورٽي پيچيده ذميواري جا مسئلا پيدا ڪري ٿي. جڏهن توهان جا سروس فراهم ڪندڙ توهان جي ڊيٽا کي متاثر ڪندڙ ڀڃڪڙين جو تجربو ڪن ٿا، ته توهان اڃا تائين نتيجن کي منهن ڏئي سگهو ٿا.
توهان کي سپلائرز تي احتياط سان ڪم ڪرڻ گهرجي ۽ انهن جي سيڪيورٽي طريقن جي مسلسل نگراني ڪرڻ گهرجي.
ضروري خدمتن جي آپريٽرن کي وينڊر مئنيجمينٽ لاءِ سخت گهرجن کي منهن ڏيڻو پوي ٿو. توهان کي پڪ ڪرڻ گهرجي ته توهان جي سپلائي چين ۾ ڊجيٽل سروس فراهم ڪندڙ توهان جي پنهنجي ذميوارين سان ملندڙ معيار برقرار رکن.
معاهدي جي معاهدن ۾ واقعن جي رپورٽنگ جي فرضن ۽ ذميواري جي ورڇ کي واضح طور تي بيان ڪرڻ گهرجي.
جيڪڏهن ڪا خلاف ورزي توهان جي سپلائي چين مان ٿئي ٿي، ته Autoriteit Persoonsgegevens جانچ ڪري ٿو ته ڇا توهان مناسب وينڊر جائزي انجام ڏني. توهان جي ذميواري ان تي منحصر آهي ته ڇا توهان سپلائر سيڪيورٽي جي تصديق لاءِ مناسب قدم کنيا.
توهان ٽئين پارٽي پروسيسر استعمال ڪندي به مڪمل طور تي ذميواري سونپي نٿا سگهو.
گھڻ-ٽيئر سپلائي چينز کي اضافي نگراني جي ضرورت آهي. توهان کي ذيلي پروسيسرز ۽ انهن جي حفاظتي قدمن ۾ نظر جي ضرورت آهي ته جيئن ڪيترن ئي تنظيمن ۾ ذاتي ڊيٽا کي نقصان پهچائڻ وارين ناڪامين کان بچائي سگهجي.
ڊيٽا جي ڀڃڪڙي جي اطلاع جون ذميواريون
نيدرلينڊ GDPR ۽ قومي سائبر سيڪيورٽي قانونن جي تحت هڪ گھڻ-سطحي نوٽيفڪيشن فريم ورڪ لاڳو ڪري ٿو. ڪنٽرولرز کي لازمي طور تي خلاف ورزين جي رپورٽ ڪريو جڏهن ڪو خطرو هجي ته 72 ڪلاڪن اندر پرسنل ڊيٽا اٿارٽي (PDA) ڏانهن ڊيٽا سبجيڪٽ جا حق.
وڏي خطري واريون ڀڃڪڙيون متاثر ماڻهن کي سڌو سنئون اطلاع ڏيڻ جي ضرورت آهي.
ٽائم لائنون ۽ طريقيڪار جون گهرجون
توهان کي PDA کي بغير ڪنهن دير جي اطلاع ڏيڻ گهرجي ۽ جتي ممڪن هجي، ذاتي ڊيٽا جي ڀڃڪڙي جي خبر پوڻ کان 72 ڪلاڪن کان پوءِ نه. هي ذميواري لاڳو ٿئي ٿي جيستائين ڀڃڪڙي قدرتي ماڻهن جي حقن ۽ آزادين لاءِ خطرو پيدا ڪرڻ جو امڪان نه هجي.
جتي ممڪن هجي، نوٽيفڪيشن ۾ مخصوص معلومات شامل هجڻ گهرجي. توهان کي لاڳاپيل ڊيٽا مضمونن جا زمرا ۽ تقريبن انگ، متاثر ٿيل ذاتي ڊيٽا رڪارڊ جا زمرا ۽ تقريبن انگ، ۽ توهان جي ڊيٽا پروٽيڪشن آفيسر يا ٻئي رابطي واري نقطي جو نالو مهيا ڪرڻ جي ضرورت آهي.
توهان کي خلاف ورزي جي امڪاني نتيجن ۽ ان کي حل ڪرڻ لاءِ کنيل يا تجويز ڪيل قدمن کي پڻ بيان ڪرڻ گهرجي.
جيڪڏهن توهان 72 ڪلاڪن اندر سڀ گهربل معلومات فراهم نٿا ڪري سگهو، ته توهان ان کي مرحلن وار جمع ڪرائي سگهو ٿا. توهان کي پنهنجي شروعاتي اطلاع ۾ ڪنهن به دير جي سببن جي وضاحت ڪرڻ گهرجي.
ڪنهن کي اطلاع ڏيڻ گهرجي ۽ ڪڏهن
جڏهن ذاتي ڊيٽا جي ڀڃڪڙي انهن جي حقن ۽ آزادين لاءِ وڏو خطرو پيدا ڪرڻ جو امڪان هجي ته توهان کي متاثر ٿيل ڊيٽا جي مضمونن کي سڌو سنئون اطلاع ڏيڻ گهرجي. هي اطلاع بغير ڪنهن دير جي جاري ٿيڻ گهرجي ۽ صاف ۽ سادي ٻولي استعمال ڪرڻ گهرجي.
ٽن مخصوص حالتن ۾ ڊيٽا جي موضوعن کي سڌو سنئون اطلاع ڏيڻ جي ضرورت ناهي. توهان کي اطلاع ڏيڻ جي ضرورت ناهي ته ڇا توهان مناسب ٽيڪنيڪل ۽ تنظيمي تحفظ جا قدم (جهڙوڪ انڪرپشن) لاڳو ڪيا آهن جيڪي ڊيٽا کي غير مجاز ماڻهن لاءِ سمجھ کان ٻاهر بڻائين ٿا.
توهان کي اهو به اطلاع ڏيڻ جي ضرورت ناهي ته جيڪڏهن توهان بعد ۾ قدم کنيا آهن ته جيئن يقيني بڻائي سگهجي ته ڊيٽا جي موضوع جي حقن لاءِ اعليٰ خطرو هاڻي ممڪن نه آهي، يا جيڪڏهن سڌي رابطي ۾ غير متناسب ڪوشش شامل هوندي. اهڙين حالتن ۾، عوامي رابطي يا ساڳيا قدم کڻڻ جي ضرورت آهي.
مالي نگراني ايڪٽ تحت مالي ڪمپنيون ڊيٽا موضوع جي نوٽيفڪيشن جي ذميواري کان مستثنيٰ آهن. انهن کي اڃا تائين PDA کي رپورٽ ڪرڻ گهرجي.
پروسيسرز جون الڳ الڳ ذميواريون آهن. ڪنهن به ذاتي ڊيٽا جي ڀڃڪڙي کان واقف ٿيڻ کان پوءِ، خطري جي سطح کان سواءِ، توهان کي ڪنٽرولر کي غير ضروري دير کان سواءِ اطلاع ڏيڻ گهرجي.
هي ٻئي GDPR جي تحت هڪ قانوني گهرج آهي ۽ توهان جي پروسيسنگ معاهدي ۾ شامل ٿيڻ گهرجي.
شعبي ۽ قومي نوٽيفڪيشن جون گهرجون
GDPR جي ذميدارين کان ٻاهر، توهان کي پنهنجي شعبي جي لحاظ کان اضافي رپورٽنگ گهرجن کي منهن ڏيڻو پئجي سگهي ٿو. WBNI (نيٽ ورڪ ۽ انفارميشن سسٽم سيڪيورٽي ايڪٽ) ڪجهه ادارن کي سائبر سيڪيورٽي اختيارين کي سيڪيورٽي واقعن جي رپورٽ ڪرڻ جي ضرورت آهي، جيتوڻيڪ جڏهن اهي واقعا ذاتي ڊيٽا جي ڀڃڪڙي جي طور تي اهل نه هجن.
عوامي اليڪٽرانڪ ڪميونيڪيشن نيٽ ورڪ فراهم ڪندڙن کي انساني ماحول ۽ ٽرانسپورٽ لاءِ انسپيڪٽريٽ (ILT) کي رپورٽ ڪرڻ گهرجي. صحت جي سار سنڀال تنظيمن کي طبي ڊوائيس جي حفاظت يا مريضن جي ڊيٽا کي متاثر ڪندڙ واقعن بابت صحت ۽ نوجوانن جي سنڀال انسپيڪٽريٽ کي مطلع ڪرڻ جي ذميواري آهي.
مالي خدمتن جي فرمن کي مالي نگراني جي قانون جي تحت شعبي جي مخصوص گهرجن جي تعميل ڪرڻ گهرجي.
نازڪ انفراسٽرڪچر فراهم ڪندڙن WBNI جي تحت ذميواريون وڌائي ڇڏيون آهن. توهان کي ڪمپيوٽر سيڪيورٽي انسيڊنٽ ريسپانس ٽيم (CSIRT) کي اهم واقعن جي رپورٽ ڪرڻ گهرجي جيڪي ضروري خدمتن کي خاص طور تي متاثر ڪري سگهن ٿيون.
سرڪاري ڪمپنين کي سيڪيورٽي واقعن کي اطلاع ڏيڻ جي ضرورت پوندي جيڪي سيڙپڪار جي فيصلن تي مادي طور تي اثر انداز ٿي سگهن ٿيون.
اهي شعبي جون گهرجون اڪثر ڪري GDPR ذميدارين سان گڏ ڪم ڪن ٿيون بجاءِ انهن کي تبديل ڪرڻ جي. توهان کي هڪ ئي واقعي لاءِ مختلف اختيارين کي ڪيترائي اطلاع ڏيڻ جي ضرورت پوندي، توهان جي تنظيم جي سرگرمين ۽ خلاف ورزي جي نوعيت تي منحصر آهي.
عدم تعميل لاءِ نفاذ ۽ پابنديون
ڊچ اختيارين وٽ واضح اختيار آهن ته اهي سائبر سيڪيورٽي جي ناڪامين جي جاچ ڪن ۽ انهن تنظيمن تي وڏا مالي ڏنڊ لاڳو ڪن جيڪي ذاتي ڊيٽا جي حفاظت ڪرڻ يا سيڪيورٽي گهرجن کي پورو ڪرڻ ۾ ناڪام ٿين ٿيون.
لاڳو ڪندڙ فريم ورڪ ۾ ڪيترائي ريگيوليٽر شامل آهن جن ۾ مخصوص نگراني جي ذميواريون، منظم سزا جون اسڪيمون، ۽ پابندين کي منهن ڏيڻ وارين تنظيمن لاءِ بيان ڪيل اپيل طريقا شامل آهن.
جاچ ۽ نگراني جا اختيار
ڊچ ڊيٽا پروٽيڪشن اٿارٽي (Autoriteit Persoonsgegevens، يا AP) ڊيٽا جي ڀڃڪڙين ۽ GDPR جي خلاف ورزين جي جاچ جي بنيادي ذميواري رکي ٿي.
اي پي شڪايتن، ميڊيا رپورٽن، يا معمول جي آڊٽ جي بنياد تي جاچ شروع ڪري سگهي ٿي.
جاچ دوران، اختيار دستاويز جي درخواست ڪري سگهي ٿو، سائيٽ تي معائنو ڪري سگهي ٿو، ۽ عملي جي ميمبرن جو انٽرويو ڪري سگهي ٿو.
نئين سائبر بيويلائيگنگسويٽ تحت سائبر سيڪيورٽي جي ذميدارين لاءِ، شعبي جي مخصوص ريگيوليٽر نگراني ڪندا آهن.
اٿارٽي فار ڪنزيومر اينڊ مارڪيٽس (ACM) ڊجيٽل انفراسٽرڪچر ۽ ٽيليڪميونيڪيشن فراهم ڪندڙن جي نگراني ڪري ٿي.
ڊچ سينٽرل بينڪ (ڊي اين بي) مالي ادارن جي نگراني ڪندو آهي.
اقتصادي معاملن ۽ موسمياتي وزير، انفراسٽرڪچر ۽ پاڻي جي انتظام جو وزير، ۽ صحت جي سار سنڀال جو وزير هر هڪ پنهنجي پنهنجي شعبن ۾ لاڳو ڪندڙ اختيار رکن ٿا.
اهي ريگيوليٽر توهان جي سسٽم جو آڊٽ ڪري سگهن ٿا، واقعن جي جوابي طريقيڪار جو جائزو وٺي سگهن ٿا، ۽ جائزو وٺي سگهن ٿا ته ڇا توهان جو خطرو انتظام قانوني معيارن تي پورو لهي ٿو.
جيڪڏهن خلاف ورزيون مليون ته اهي توهان جي تنظيم کان لاڳو ڪندڙ خرچ پڻ وصول ڪري سگهن ٿا.
نيشنل سائبر سيڪيورٽي سينٽرم (NCSC) ريگيوليٽرن جي وچ ۾ هم آهنگي ڪري ٿو پر سڌو سنئون سزا لاڳو نٿو ڪري.
انتظامي ۽ مالي سزائون
مالي سزائون قانوني فريم ورڪ ۽ خلاف ورزين جي شدت جي بنياد تي مختلف هونديون آهن.
GDPR لاڳو ڪرڻ جي تحت، AP €20 ملين تائين يا توهان جي سالياني عالمي ٽرن اوور جو 4٪، جيڪو به وڌيڪ هجي، جرمانو لاڳو ڪري سگهي ٿو.
اٿارٽي خلاف ورزي جي نوعيت، متاثر ٿيل ماڻهن جو تعداد، ۽ جاچ دوران توهان جي تعاون جهڙن عنصرن تي غور ڪري ٿي.
سائبر بيويلائيگنگسويٽ جي تحت، سزا هڪ ٽائرڊ ڍانچي جي پيروي ڪندي آهي:
| اداري جي درجه بندي | وڌ ۾ وڌ ڏنڊ | ٽرن اوور متبادل |
|---|---|---|
| ضروري ادارن (EE) | € 10 ملين | 2٪ عالمي واپار |
| بيلنگريجڪي اينٽيٽيٽين (BE) | € 7 ملين | 1.4٪ عالمي واپار |
ريگيوليٽر پڻ اصلاحي حڪم جاري ڪري سگهن ٿا جيڪي توهان کي مقرر ڪيل وقت جي اندر مخصوص حفاظتي قدمن کي لاڳو ڪرڻ جي ضرورت پوندي.
بار بار ناڪامين جي نتيجي ۾ خلاف ورزين جي عوامي ظاهر ذريعي نالو ڏيڻ ۽ شرمندگي ٿي سگهي ٿي.
ضروري ادارن جي طور تي درجه بندي ڪيل تنظيمن جي ڊائريڪٽرن کي سخت ڪيسن ۾ بورڊ جي عهدن تان ذاتي نااهلي جو سامنا ٿي سگهي ٿو.
سرڪاري شعبي جون تنظيمون مالي ڏنڊن کان مستثنيٰ آهن پر انهن کي اصلاحي لاڳو ڪندڙ ڪارروائين ۽ ممڪن پارلياماني جاچ کي منهن ڏيڻو پوي ٿو.
قانوني رستو ۽ اپيلون
توهان کي لاڳو ڪندڙ فيصلن کي چئلينج ڪرڻ جو حق آهي انتظامي اپيلون.
ڏنڊ جو نوٽيس ملڻ کان پوءِ، توهان ڇهن هفتن اندر جاري ڪندڙ اختيار کي اعتراض (بيزوار) جمع ڪرائي سگهو ٿا.
ريگيوليٽر کي پنهنجي فيصلي تي ٻيهر غور ڪرڻ گهرجي ۽ هڪ رسمي جواب ڏيڻ گهرجي.
جيڪڏهن توهان نظرثاني جي نتيجي سان متفق نه آهيو، ته توهان ضلعي عدالت (ريچٽ بينڪ) ۾ اپيل ڪري سگهو ٿا.
عدالت جائزو وٺندي ته ڇا ريگيوليٽر صحيح طريقيڪار تي عمل ڪيو ۽ قانون کي صحيح طريقي سان لاڳو ڪيو.
توهان پوء ڪري سگهو ٿا اپيل ڪورٽ جي فيصلن ڪائونسل آف اسٽيٽ (Afdeling bestuursrechtspraak van de Raad van State) جي انتظامي عدالتي ڊويزن ڏانهن، جيڪا اعليٰ ترين انتظامي عدالت طور ڪم ڪري ٿي.
اپيل جي عمل دوران، توهان کي ريگيوليٽرن پاران حڪم ڏنل ڪنهن به اصلاحي قدمن تي عمل درآمد جاري رکڻ گهرجي.
عدالتون اپيل جي نتيجن جي انتظار ۾ مالي سزا معطل ڪري سگهن ٿيون، پر اهو خودڪار نه آهي.
سائبر سيڪيورٽي مئنيجمينٽ ۾ اهم ڪردار ۽ ذميواريون
تنظيمن کي واضح طور تي بيان ڪرڻ گهرجي ته سائبر سيڪيورٽي ڪمن کي ڪير منظم ڪري ٿو، ڊيٽا پروٽيڪشن آفيسرن جي مقرري کان وٺي بورڊ سطح جي جوابدهي قائم ڪرڻ ۽ سيڪيورٽي پروٽوڪول تي ملازمن کي تربيت ڏيڻ تائين.
ڊيٽا پروٽيڪشن آفيسر ۽ مقرريون
جيڪڏهن توهان جي تنظيم وڏي پيماني تي حساس ذاتي ڊيٽا کي پروسيس ڪري ٿي يا منظم طريقي سان ماڻهن جي نگراني ڪري ٿي ته توهان کي هڪ ڊيٽا پروٽيڪشن آفيسر (DPO) مقرر ڪرڻ گهرجي.
ڊي پي او ڊيٽا تحفظ اختيارين ۽ ڊيٽا جي مضمونن لاءِ توهان جي رابطي جي بنيادي نقطي طور ڪم ڪري ٿو.
توهان جي ڊي پي او کي ڊيٽا تحفظ جي قانون ۽ معلومات جي حفاظت جي طريقن ۾ مخصوص قابليت جي ضرورت آهي.
انهن کي سڌو سنئون توهان جي اعليٰ انتظامي سطح تي رپورٽ ڪرڻ گهرجي ۽ انهن کي پنهنجن فرضن جي انجام ڏيڻ تي برطرف نٿو ڪري سگهجي.
ڪردار ۾ GDPR جي تعميل جي نگراني ڪرڻ، ڊيٽا جي تحفظ جي اثر جي تشخيص ڪرڻ، ۽ انڪرپشن ۽ ڪرپٽوگرافي جي گهرجن تي صلاح ڏيڻ شامل آهي.
توهان کي ڊي پي او جي ذميوارين کي واضح طور تي دستاويز ڪرڻ گهرجي.
ان ۾ توهان جي ڊجيٽل انفراسٽرڪچر جي آڊٽ ڪرڻ ۽ توهان جي واقعي جي جوابي منصوبي جو جائزو وٺڻ جو اختيار شامل آهي.
جيڪڏهن توهان ڪيترن ئي EU ملڪن ۾ ڪم ڪندا آهيو، ته توهان انهن جي پيشه ورانه خوبين ۽ لاڳاپيل دائري اختيار جي ڄاڻ جي بنياد تي هڪ واحد DPO مقرر ڪري سگهو ٿا.
ڪارپوريٽ گورننس ۽ جوابدهي
توهان جي بورڊ آف ڊائريڪٽرز تي سائبر سيڪيورٽي جي خطري جي انتظام جي آخري ذميواري آهي.
انهن کي سيڪيورٽي قدمن جي منظوري ڏيڻ گهرجي، مناسب وسيلا مختص ڪرڻ گهرجن، ۽ سائبر لچڪ جي ڪوششن جي مناسب نگراني کي يقيني بڻائڻ گهرجي.
قيادت جي ذميواري ۾ شامل آهن:
- سيڪيورٽي پاليسين جي منظوري معلومات جي سيڪيورٽي فريم ورڪ لاءِ
- خطري جي تشخيص جي نگراني ۽ آپريشنل لچڪ جي منصوبابندي
- آڊٽ جي تعميل کي يقيني بڻائڻ آزاد جائزي ذريعي
- بجيٽ مختص ڪرڻ سائبر سيڪيورٽي مئنيجمينٽ لاءِ ۽ ملازمت جي تربيت
توهان کي سيڪيورٽي فيصلا ڪرڻ لاءِ اختيار جون واضح لائينون قائم ڪرڻ گهرجن.
دستاويز جيڪو سيڪيورٽي قدمن جي منظوري ڏئي ٿو، جيڪو عملدرآمد جي نگراني ڪري ٿو، ۽ جيڪو آڊٽ ڪري ٿو.
توهان جي انتظاميا کي سائبر سيڪيورٽي جي ڪارڪردگي جو باقاعدي جائزو وٺڻ گهرجي ۽ توهان جي ڊجيٽل انفراسٽرڪچر کي وڌندڙ خطرن جي بنياد تي حڪمت عملين کي ترتيب ڏيڻ گهرجي.
اندروني پاليسيون ۽ ملازمن جي تربيت
توهان کي دستاويزي پاليسيون ٺاهڻ گهرجن جيڪي توهان جي تنظيم ۾ سيڪيورٽي ڪردارن کي بيان ڪن.
انهن پاليسين کي ڊيٽا جي حفاظت، واقعن جي جواب، ۽ سائبر لچڪ کي برقرار رکڻ جي ذميوارين کي بيان ڪرڻ گهرجي.
توهان جي سيڪيورٽي پاليسين کي ڍڪڻ گهرجي:
- رسائي ڪنٽرول ۽ تصديق جون گهرجون
- ڊيٽا جي درجه بندي ۽ انڪرپشن معيار
- واقعن جي رپورٽنگ جا طريقا
- باقاعدي سيڪيورٽي آگاهي تربيت
توهان کي سڀني ملازمن کي معلومات جي حفاظت جي طريقن تي مسلسل تربيت فراهم ڪرڻ گهرجي.
هن ۾ شامل آهي فشنگ جي سڃاڻپ ڪوششون، حساس ڊيٽا کي صحيح طريقي سان سنڀالڻ، ۽ توهان جي واقعي جي جوابي منصوبي تي عمل ڪرڻ.
تربيت کي مخصوص ڪردارن جي مطابق ترتيب ڏيڻ گهرجي، جنهن ۾ ٽيڪنيڪل عملي کي ڪرپٽوگرافي ۽ سيڪيورٽي ڪنٽرول تي جديد هدايتون مليون هجن.
توهان جي پاليسين جو باقاعدي جائزو وٺڻ گهرجي ۽ ضابطا تبديل ٿيڻ يا نوان خطرا پيدا ٿيڻ تي اپڊيٽ ڪيو وڃي.
توهان کي سائبر سيڪيورٽي جي طريقن ۾ پاليسي لاڳو ڪرڻ ۽ عملي جي ترقي ٻنهي لاءِ مناسب وسيلن کي يقيني بڻائڻ جي ضرورت آهي.
سائبر سيڪيورٽي واقعن جا قسم ۽ اڀرندڙ خطرا
سائبر سيڪيورٽي جا واقعا گمراهه ڪندڙ اي ميلن کان وٺي وڏي پيماني تي نيٽ ورڪ جي رڪاوٽن تائين آهن جيڪي پوري تنظيم کي متاثر ڪري سگهن ٿا.
انهن خطرن کي سمجهڻ توهان کي ڪمزورين جي سڃاڻپ ڪرڻ ۽ اهو طئي ڪرڻ ۾ مدد ڪري ٿو ته جڏهن خلاف ورزي ٿئي ٿي ته ذميواري ڪٿي آهي.
فشنگ، مالويئر، ۽ رينسم ويئر
phishing اڃا تائين سڀ کان وڌيڪ عام سائبر سيڪيورٽي خطرن مان هڪ آهي جيڪو توهان کي منهن ڏيڻو پوندو.
حملو ڪندڙ توهان جا پاسورڊ، مالي معلومات، يا ٻيو حساس ڊيٽا چوري ڪرڻ لاءِ جائز ڪمپنين جا هجڻ جو بهانو ڪندي اي ميلون يا پيغام موڪليندا آهن.
اهي حملا 60 سيڪڙو کان وڌيڪ سوشل انجنيئرنگ واقعن جا ذميوار آهن.
بد انتظام نقصانڪار سافٽ ويئر جو حوالو ڏئي ٿو جيڪو توهان جي ڪمپيوٽر سسٽم يا نيٽ ورڪ کي نقصان پهچائيندو آهي.
ان ۾ وائرس، ٽروجن، ۽ ٻيا خراب ڪوڊ شامل آهن جيڪي توهان جي ڊيٽا تائين رسائي حاصل ڪرڻ يا توهان جي ڪمن ۾ خلل وجهڻ لاءِ ٺهيل آهن.
ransomware هڪ خاص قسم جو مالويئر آهي جيڪو توهان جي فائلن تائين رسائي کي روڪي ٿو ۽ بحالي لاءِ ادائيگي جو مطالبو ڪري ٿو.
جيتوڻيڪ جيڪڏهن توهان تاوان ادا ڪيو، ته ڪا به ضمانت ناهي ته حملي آور توهان جي رسائي بحال ڪندا يا چوري ٿيل ڊيٽا کي ختم ڪندا.
2020 ۽ 2021 جي وچ ۾، تنظيمن کي عالمي سطح تي لڳ ڀڳ 24,000 سائبر سيڪيورٽي واقعن کي منهن ڏيڻو پيو، جن ۾ رينسم ويئر مالي نقصان ۾ اهم ڪردار ادا ڪيو.
سروس کان انڪار (DoS) ۽ ورهايل DoS (DDoS) حملا
ڊي ايس جا حملا جائز استعمال ڪندڙن لاءِ خدمتون دستياب نه ٿيڻ لاءِ توهان جي سسٽم کي ٽرئفڪ سان ڀريل ڪريو.
هڪ واحد ذريعو توهان جي نيٽ ورڪ کي درخواستن سان ڀري ٿو جيستائين اهو ڪريش نه ٿئي يا ڪم ڪرڻ ۾ تمام سست ٿي وڃي.
ڊي وي ڊي حملا توهان جي انفراسٽرڪچر خلاف هم آهنگ حملا شروع ڪرڻ لاءِ ڪيترائي سمجهوتا ٿيل نظام استعمال ڪريو.
انهن ورهايل حملن کي روڪڻ ڏکيو آهي ڇاڪاڻ ته اهي هڪ ئي وقت ڪيترن ئي هنڌن کان ايندا آهن.
ڊي ڊي او ايس حملي اهم خدمتن کي متاثر ڪري سگهن ٿا، سرڪاري ويب سائيٽن کان وٺي خانگي شعبي جي آپريشن تائين.
عام طور تي توهان وٽ پهرين ڳولا کان 62 منٽن کان به گهٽ وقت هوندو آهي ته جيئن ڪنهن سيڪيورٽي واقعي کي وڏي ڀڃڪڙي ٿيڻ کان روڪي سگهجي.
هي تنگ ونڊو DoS يا DDoS حملن کي منهن ڏيڻ وقت تيز جواب کي ضروري بڻائي ٿي.
دوکو ۽ غير مجاز رسائي
درٻار سائبر سيڪيورٽي ۾ توهان جي سسٽم يا ڊيٽا تائين غير مجاز رسائي حاصل ڪرڻ لاءِ فريب ڏيندڙ طريقا شامل آهن.
ان ۾ سڃاڻپ جي چوري، ادائيگي جي جعلسازي، ۽ سند جي سمجهوتي شامل آهي.
غير مجاز رسائي اهو تڏهن ٿئي ٿو جڏهن ڪو ماڻهو اجازت کان سواءِ نيٽ ورڪ، سسٽم، يا ڊيٽا تائين رسائي حاصل ڪرڻ لاءِ توهان جي سيڪيورٽي پاليسين جي ڀڃڪڙي ڪري ٿو.
هي ٿي سگهي ٿو ذريعي:
- چوري ٿيل لاگ ان اسناد
- استحصال ڪيل سافٽ ويئر ڪمزوريون
- نظرانداز ٿيل سيڪيورٽي ڪنٽرول
- موجوده يا اڳوڻي ملازمن کان اندروني ڌمڪيون
اندروني ڊيٽا جي چوري کي اڪثر نظرانداز ڪيو ويندو آهي پر اهو ٻاهرين حملي وانگر ئي نقصانڪار ٿي سگهي ٿو.
2021 ۾، اندروني حملن جي سراسري قيمت 12.5 ملين پائونڊ تائين پهچي وئي.
ملازمن پاران غير ارادي طور تي ڊيٽا ليڪ ٿيڻ کي به ڪمپيوٽر جي غلط استعمال ايڪٽ (1990) تحت سيڪيورٽي واقعن ۾ شمار ڪيو ويندو آهي.
شعبي ۽ سپلائي چين جون ڪمزوريون
نازڪ انفراسٽرڪچر شعبا سائبر ڪرائم جي وڌندڙ خطرن کي منهن ڏئي رهيا آهن، جن ۾ صحت جي سار سنڀال، توانائي، ۽ مالي خدمتون اهم نشانو آهن.
پيشه ورانه شعبي 2020 ۽ 2021 جي وچ ۾ تقريبن 3,600 واقعن جو تجربو ڪيو، جنهن ان کي سڀ کان وڌيڪ نشانو بڻايل صنعت بڻايو.
سپلائي زنجير سيڪيورٽي اهو وڌيڪ اهم ٿي ويو آهي ڇاڪاڻ ته حملي آور توهان تي سڌو حملو ڪرڻ بدران توهان جي ڀائيوارن ۽ ٽئين پارٽي وينڊرز کي نشانو بڻائين ٿا.
اهي ٽئين پارٽي وينڊر حملي توهان جي ساٿي تنظيمن ۾ ڪمزور سيڪيورٽي قدمن جو استحصال ڪندي توهان جي گراهڪن جي ڊيٽا تائين رسائي حاصل ڪندا آهن.
سپلائي چين جون ڪمزوريون حملي آورن کي هڪ ئي خلاف ورزي ذريعي ڪيترن ئي تنظيمن کي متاثر ڪرڻ جي اجازت ڏين ٿيون.
جڏهن توهان جي وينڊر جا سسٽم توهان سان ڳنڍجن ٿا، ته انهن جون سيڪيورٽي ڪمزوريون توهان جي سيڪيورٽي ڪمزوريون بڻجي وڃن ٿيون.
هن باهمي طور تي ڳنڍيل خطري جو مطلب آهي ته توهان کي نه رڳو پنهنجي سائبر سيڪيورٽي قدمن جو جائزو وٺڻ گهرجي پر توهان جي سپلائي چين ۾ هر تنظيم جي قدمن جو پڻ جائزو وٺڻ گهرجي.
قومي رياستون تيزي سان مقابلي واري سائبر اسپيس کي جانچينديون ۽ انهن ۾ داخل ٿينديون آهن، اڪثر ڪري حڪومتن جي طرفان ڪم ڪندي خانگي ادارن جي آڙ ۾ ڪم ڪنديون آهن.
وچان وچان سوال ڪرڻ
ڊچ ڪمپنين کي ڊيٽا جي ڀڃڪڙي کان پوءِ سخت رپورٽنگ گهرجن ۽ تعميل جي معيارن تي عمل ڪرڻ گهرجي، جنهن جي ذميواري ڪيترن ئي ڌرين تي انهن جي ڪردار ۽ ذميوارين جي لحاظ کان وڌي ويندي آهي.
انهن ذميدارين کي سمجهڻ تنظيمن کي قومي ۽ يورپي ضابطن جي تعميل کي برقرار رکندي پاڻ کي ۽ متاثر ماڻهن کي بچائڻ ۾ مدد ڪري ٿو.
ڊيٽا جي ڀڃڪڙي کان پوءِ ڊچ ڪمپنين جون قانوني ذميواريون ڇا آهن؟
توهان جي تنظيم کي ڊيٽا جي ڀڃڪڙي جي خبر پوڻ جي 72 ڪلاڪن اندر ڊچ ڊيٽا پروٽيڪشن اٿارٽي (Autoriteit Persoonsgegevens) کي اطلاع ڏيڻ گهرجي.
هي گهرج GDPR جي تحت لاڳو ٿئي ٿي، جيڪو هالينڊ ۾ ڊيٽا جي تحفظ کي سنڀاليندو آهي.
توهان کي پنهنجي خلاف ورزي جي اطلاع ۾ مخصوص معلومات مهيا ڪرڻ جي ضرورت آهي.
ان ۾ خلاف ورزي جي نوعيت، متاثر ٿيل ماڻهن جو تعداد، امڪاني نتيجا، ۽ اهي قدم جيڪي توهان کنيا آهن يا کڻڻ جو ارادو رکن ٿا شامل آهن.
جيڪڏهن توهان 72 ڪلاڪن اندر سڀئي تفصيل فراهم نٿا ڪري سگهو، ته توهان کي دير جي وضاحت ڪرڻ گهرجي ۽ باقي معلومات جلد کان جلد جمع ڪرائڻ گهرجي.
جڏهن خلاف ورزي فردن جي حقن ۽ آزادين لاءِ وڏو خطرو پيدا ڪري ٿي، ته توهان کي متاثر ٿيل ماڻهن کي سڌو سنئون اطلاع ڏيڻ گهرجي.
توهان هن اطلاع کي بغير ڪنهن معقول سبب جي دير نٿا ڪري سگهو.
متاثر ٿيل ماڻهن سان توهان جو رابطو واضح هجڻ گهرجي ۽ ڀڃڪڙي جي ممڪن نتيجن جي وضاحت ڪرڻ گهرجي ۽ اهي پاڻ کي بچائڻ لاءِ ڪهڙا قدم کڻي سگهن ٿا.
توهان کي سڀني ڊيٽا جي ڀڃڪڙين جي تفصيلي دستاويز برقرار رکڻ گهرجي، قطع نظر ته توهان انهن کي اختيارين کي رپورٽ ڪريو ٿا.
هن دستاويز ۾ ڀڃڪڙي، ان جي اثرات، ۽ ڪيل تدارڪاتي ڪارروائي بابت حقيقتون شامل هجڻ گهرجن.
ڊچ ڊيٽا پروٽيڪشن اٿارٽي معائنن يا جاچ دوران هن دستاويز جي درخواست ڪري سگهي ٿي.
هالينڊ جي قانون تحت ڊيٽا جي ڀڃڪڙين جي ذميواري ڪيئن طئي ڪئي ويندي آهي؟
هالينڊ ۾ ڊيٽا جي ڀڃڪڙين جي ذميواري توهان جي ڪردار تي منحصر آهي ته يا ته ڊيٽا ڪنٽرولر يا ڊيٽا پروسيسر جي حيثيت سان.
ڊيٽا ڪنٽرولرز ذاتي ڊيٽا جي پروسيسنگ جا مقصد ۽ ذريعا طئي ڪندا آهن، جڏهن ته ڊيٽا پروسيسر ڪنٽرولرز جي طرفان ڊيٽا کي سنڀاليندا آهن.
تنهنجو قانوني ذميواريون هن درجه بندي جي بنياد تي مختلف آهن.
ڊيٽا ڪنٽرولر جي حيثيت سان، توهان تي ڊيٽا تحفظ جي ضابطن جي تعميل کي يقيني بڻائڻ جي بنيادي ذميواري آهي.
توهان کي ذاتي ڊيٽا جي حفاظت لاءِ مناسب ٽيڪنيڪل ۽ تنظيمي قدم لاڳو ڪرڻ گهرجن.
عدالتون جائزو وٺنديون آهن ته ڇا توهان خلاف ورزي کي روڪڻ لاءِ مناسب قدم کنيا ۽ ڇا توهان پنهنجي سيڪيورٽي طريقن ۾ لاپرواهي ڪئي.
ڊيٽا پروسيسرز کي به ذميواري جو منهن ڏيڻو پئجي سگهي ٿو جيڪڏهن اهي ڪنٽرولر جي هدايتن تي عمل ڪرڻ ۾ ناڪام ٿين ٿا يا انهن جي معاهدي جي ذميوارين جي ڀڃڪڙي ڪن ٿا.
جڏهن ته، پروسيسرز کي عام طور تي ڪنٽرولرز جي ڀيٽ ۾ وڌيڪ محدود ذميواري هوندي آهي.
جيڪڏهن توهان ڪنٽرولر کان مناسب اجازت کانسواءِ ڊيٽا پروسيس ڪندا آهيو يا متفقه حفاظتي قدمن کي لاڳو ڪرڻ ۾ ناڪام ٿيندا آهيو، ته توهان کي سڌو سنئون ذميوار قرار ڏنو ويندو.
ڊچ عدالتون ذميواري جو تعين ڪرڻ وقت ڪيترائي عنصر لاڳو ڪن ٿيون.
انهن ۾ ڀڃڪڙي جي شدت، سمجھوتي ٿيل ڊيٽا جي حساسيت، ڀڃڪڙي کان اڳ توهان جا سيڪيورٽي اپاءَ، ۽ واقعي کي دريافت ڪرڻ کان پوءِ توهان جو جواب شامل آهي.
توهان جي تنظيم جو سائز ۽ وسيلا پڻ متاثر ڪن ٿا ته عدالتون ڪهڙيون مناسب حفاظتي اپاءَ وٺن ٿيون.
گڏيل ذميواري تڏهن پيدا ٿي سگهي ٿي جڏهن ڪيتريون ئي پارٽيون ڊيٽا جي ڀڃڪڙي ۾ حصو وٺن ٿيون.
جيڪڏهن توهان ٻين ڪنٽرولرز يا پروسيسرز سان ذميواري شيئر ڪندا آهيو، ته عدالتون هر پارٽي کي پوري نقصان جو ذميوار قرار ڏئي سگهن ٿيون.
پوءِ توهان ٻين ذميوار ڌرين کان انهن جي خلاف ورزي ۾ ڪيل تعاون جي بنياد تي معاوضو طلب ڪري سگهو ٿا.
هالينڊ ۾ ڊيٽا سيڪيورٽي واقعن لاءِ ڪهڙين ڌرين کي ذميوار قرار ڏئي سگهجي ٿو؟
ڊيٽا سيڪيورٽي واقعن لاءِ ڊيٽا ڪنٽرولرز بنيادي ذميواري رکن ٿا.
هڪ ڪنٽرولر جي حيثيت سان، توهان فيصلا ڪندا آهيو ته ذاتي ڊيٽا ڪيئن پروسيس ڪئي ويندي آهي ۽ توهان کي يقيني بڻائڻ گهرجي ته مناسب حفاظتي اپاءَ موجود آهن.
خلاف ورزي کان پوءِ توهان جي تنظيم کي انتظامي ڏنڊ، سول ذميواري، ۽ شهرت کي نقصان پهچي سگهي ٿو.
ڊيٽا پروسيسرز کي ذميوار قرار ڏئي سگهجي ٿو جڏهن اهي پنهنجي معاهدي ۽ قانوني ذميوارين کي پورو ڪرڻ ۾ ناڪام ٿين ٿا.
جيڪڏهن توهان ڪنٽرولر جي طرفان ڊيٽا پروسيس ڪندا آهيو، ته توهان کي پنهنجي معاهدي ۾ بيان ڪيل حفاظتي قدمن کي لاڳو ڪرڻ گهرجي ۽ ڪنٽرولر جي قانوني هدايتن جي تعميل ڪرڻ گهرجي.
جيڪڏهن توهان پنهنجي اختيار کان ٻاهر نڪتا يا مناسب سيڪيورٽي برقرار رکڻ ۾ ناڪام ٿيا ته توهان کي سڌي طرح ذميوار قرار ڏنو ويندو.
توهان جي تنظيم جا ڊائريڪٽر ۽ آفيسر ڪجهه حالتن ۾ ذاتي ذميواري کي منهن ڏئي سگهن ٿا.
هالينڊ ۾ NIS2 هدايت جي عملدرآمد جي تحت، انتظاميا کي سائبر سيڪيورٽي گورننس ۾ ناڪامين لاءِ ذاتي طور تي ذميوار قرار ڏئي سگهجي ٿو.
جيڪڏهن سنگين خلاف ورزيون ٿين ٿيون ته ان ۾ ڊائريڪٽر جي حيثيت سان ڪم ڪرڻ کان امڪاني نااهلي شامل آهي.
ٽئين پارٽي سروس فراهم ڪندڙ پڻ سيڪيورٽي واقعن جي ذميواري برداشت ڪري سگهن ٿا.
جيڪڏهن توهان ڪلائوڊ سروسز، آئي ٽي سپورٽ، يا ٻين ٻاهرين فراهم ڪندڙن تي ڀروسو ڪندا آهيو، ته اهي شايد ذميواري شيئر ڪن جڏهن انهن جي ناڪامي خلاف ورزي ۾ حصو وٺندي.
انهن فراهم ڪندڙن سان توهان جا معاهدا واضح طور تي سيڪيورٽي ذميواريون ۽ ذميواري جي شرطن کي بيان ڪرڻ گهرجن.
ڊچ ڊيٽا پروٽيڪشن اٿارٽي بنيادي لاڳو ڪندڙ اداري طور ڪم ڪري ٿي.
جڏهن ته خلاف ورزين لاءِ سڌو سنئون ذميوار نه آهي، اٿارٽي واقعن جي جاچ ڪري ٿي، اصلاحي حڪم جاري ڪري ٿي، ۽ غير تعميل ڪندڙ تنظيمن تي انتظامي جرمانا لاڳو ڪري ٿي.
ڊچ ڊيٽا تحفظ جي ضابطن جي عدم تعميل جي ڪري تنظيمن کي ڪهڙا نتيجا منهن ڏيڻا پوندا آهن؟
توهان جي تنظيم کي 20 ملين يورو تائين يا توهان جي عالمي سالياني ٽرن اوور جو 4٪ تائين انتظامي جرمانو ٿي سگهي ٿو، جيڪا به رقم وڌيڪ هجي. ڊچ ڊيٽا پروٽيڪشن اٿارٽي خلاف ورزي جي نوعيت، شدت، مدت، ۽ جاچ دوران توهان جي تعاون جي بنياد تي جرمانو رقم مقرر ڪري ٿي.
مالي ڏنڊن کان علاوه، اٿارٽي اصلاحي قدم لاڳو ڪري سگهي ٿي جيڪي توهان جي ڪمن ۾ خلل وجهن ٿا. انهن قدمن ۾ ڊيٽا پروسيسنگ سرگرمين تي عارضي پابنديون، مخصوص خلاف ورزين کي درست ڪرڻ جا حڪم، ۽ لازمي آڊٽ شامل آهن.
توهان کي ڪجهه ڪاروباري سرگرميون معطل ڪرڻ جي ضرورت پئجي سگھي ٿي جيستائين توهان تعميل جو مظاهرو نه ڪريو. عدم تعميل جي ڪري توهان جي تنظيم کي وڏي شهرت کي نقصان پهچڻ جو خطرو آهي.
ڊيٽا جي ڀڃڪڙين ۽ ريگيوليٽري سزائن جو عوامي افشا گراهڪ جي اعتماد کي ختم ڪري سگهي ٿو ۽ ڪاروباري لاڳاپن کي نقصان پهچائي سگهي ٿو. ڊچ ڊيٽا پروٽيڪشن اٿارٽي لاڳو ڪندڙ فيصلا شايع ڪري ٿي، جيڪي عوام ۽ ميڊيا لاءِ پهچ ۾ رهن ٿا.
توهان کي متاثر ٿيل ماڻهن طرفان نقصان جي معاوضي جي طلب ڪندي سول ڪيسن کي منهن ڏيڻو پئجي سگهي ٿو. فرد ڊيٽا جي تحفظ جي خلاف ورزين جي نتيجي ۾ مادي ۽ غير مادي نقصانن جو دعويٰ ڪري سگهن ٿا.
ڊچ عدالتن ذاتي ڊيٽا تي پريشاني ۽ ڪنٽرول جي نقصان جي دعوائن کي وڌيڪ تسليم ڪيو آهي، جيتوڻيڪ سڌو سنئون مالي نقصان کان سواءِ. سنگين خلاف ورزين کان پوءِ توهان جا ڪاروباري موقعا محدود ٿي سگهن ٿا.
ڪجهه شعبن کي معاهدن کي برقرار رکڻ لاءِ سيڪيورٽي سرٽيفڪيشن يا تعميل رڪارڊ جي ضرورت هوندي آهي، خاص طور تي جڏهن سرڪاري ادارن يا منظم صنعتن سان معاملو ڪيو ويندو آهي.
هالينڊ ۾ ڊيٽا جي ڀڃڪڙي کان پوءِ متاثر ٿيل ماڻهو ڪهڙن طريقن سان معاوضي جي درخواست ڪري سگهن ٿا؟
جيڪڏهن توهان کي يقين آهي ته ڪنهن تنظيم توهان جي ڊيٽا تحفظ جي حقن جي ڀڃڪڙي ڪئي آهي ته توهان ڊچ ڊيٽا تحفظ اٿارٽي وٽ شڪايت درج ڪري سگهو ٿا. اٿارٽي شڪايتن جي جاچ ڪري ٿي ۽ غير تعميل ڪندڙ تنظيمن خلاف ڪارروائي ڪري سگهي ٿي.
هن عمل ۾ توهان کي ڪو به خرچ نه ايندو ۽ قانوني نمائندگي جي ضرورت ناهي. توهان کي ذميوار تنظيم خلاف سول قانوني ڪارروائي ڪرڻ جو حق آهي.
ڊچ قانون توهان کي ڊيٽا جي تحفظ جي خلاف ورزين جي نتيجي ۾ مادي ۽ غير مادي ٻنهي نقصانن جي معاوضي جي دعويٰ ڪرڻ جي اجازت ڏئي ٿو. مادي نقصانن ۾ مالي نقصان شامل آهن، جڏهن ته غير مادي نقصانن ۾ پريشاني، پريشاني، ۽ توهان جي ذاتي ڊيٽا تي ڪنٽرول جي نقصان شامل آهي.
توهان پنهنجي دعويٰ کي هنگامي بنيادن تي سنڀالڻ لاءِ وڪيل کي شامل ڪري سگهو ٿا يا جيڪڏهن توهان مالي قابليت جي معيار تي پورا لهو ٿا ته قانوني مدد حاصل ڪري سگهو ٿا. هالينڊ ۾ ڪيتريون ئي قانوني فرمون ڊيٽا جي تحفظ جي ڪيسن ۾ ماهر آهن ۽ توهان جي دعويٰ جي طاقت تي توهان کي صلاح ڏئي سگهن ٿيون.
طبقاتي ڪارروائي جو طريقو متاثر ٿيل فردن جي گروهن کي اجتماعي طور تي دعوائن جي پيروي ڪرڻ جي اجازت ڏئي ٿو. توهان عدالت ۾ وڃڻ کان سواءِ تنظيم کان سڌو سنئون معاوضو حاصل ڪري سگهو ٿا.
ڪيتريون ئي تنظيمون قانوني خرچن ۽ منفي پبلسٽي کان بچڻ لاءِ دعوائن کي خانگي طور تي حل ڪرڻ کي ترجيح ڏين ٿيون. جيڪڏهن تنظيم واضح طور تي ڊيٽا جي تحفظ جي ضابطن جي ڀڃڪڙي ڪئي آهي يا جيڪڏهن ڀڃڪڙي اهم نقصان پهچايو آهي ته توهان جي ڳالهين واري پوزيشن مضبوط ٿيندي آهي.
جيڪڏهن ڊيٽا پروسيسرز خلاف ڀڃڪڙي جي ذميواري قبول ڪن ٿا ته توهان انهن خلاف دعوائون پڻ ڪري سگهو ٿا. GDPR جي تحت، ڪنٽرولرز ۽ پروسيسرز ٻنهي کي نقصانن جو ذميوار قرار ڏئي سگهجي ٿو.
جيڪڏهن ڪيترن ئي ڌرين خلاف ورزي ۾ حصو ورتو، ته توهان ڪنهن به ذميوار ڌر کان مڪمل رقم دعويٰ ڪري سگهو ٿا.
هالينڊ ۾ ڪم ڪندڙ ادارن لاءِ ڊيٽا جي ڀڃڪڙي جي صورت ۾ GDPR ذميواري ۽ ذميدارين کي ڪيئن متاثر ڪري ٿو؟
GDPR ذاتي ڊيٽا جي تحفظ جي حوالي سان تنظيمن لاءِ واضح ذميواريون قائم ڪري ٿو.
ادارن کي ڊيٽا سيڪيورٽي کي يقيني بڻائڻ لاءِ مناسب ٽيڪنيڪل ۽ تنظيمي قدم لاڳو ڪرڻ گهرجن.
ڊيٽا جي ڀڃڪڙي جي صورت ۾، تنظيمن کي 72 ڪلاڪن اندر لاڳاپيل نگران اختيار کي اطلاع ڏيڻ جي ضرورت آهي.
جيڪڏهن خلاف ورزي فردن جي حقن ۽ آزادين لاءِ وڏو خطرو پيدا ڪري ٿي، ته متاثر فردن کي پڻ آگاهي ڏيڻ گهرجي.
انهن گهرجن جي تعميل ۾ ناڪامي جي نتيجي ۾ تنظيم لاءِ وڏا جرمانا ۽ ساک کي نقصان پهچي سگهي ٿو.
ڊيٽا ڪنٽرولرز ۽ پروسيسرز ٻنهي جون GDPR تحت الڳ الڳ ذميواريون آهن، ۽ معاهدن کي انهن ڪردارن کي واضح طور تي بيان ڪرڻ گهرجي.
