جی ڈی پی آر آج سے شروع! آپ کیا جاننا چاہتے ہیں

آج سے ، 25 مئی ، 2018 کو ، یوروپی یونین کی (EU) جنرل ڈیٹا پروٹیکشن ریگولیشن (جی ڈی پی آر) قانون سازی مؤثر طریقے سے عالمی قانون بن جائے گا جب یہ سوال آتا ہے کہ کاروبار کے ذریعہ ذاتی ڈیٹا کو کس طرح سنبھالنا ہوگا۔ اگرچہ آپ کو لگتا ہے کہ یوروپ میں ڈیٹا پروٹیکشن قانون کی توثیق صرف یورپی باشندوں پر ہوگی۔ اس کی وجہ یہ ہے کہ جی ڈی پی آر تمام یورپی یونین کے شہریوں کی حفاظت کرتا ہے چاہے وہ کہاں رہتا ہو اور اس سے کوئی فرق نہیں پڑتا ہے کہ وہ کس کے ساتھ کاروبار کررہے ہیں ، اس کا مطلب یہ ہے کہ یورپی یونین کے صارفین کے ساتھ امریکی کمپنیاں بالکل ہی جی ڈی پی آر کی ضروریات کے پابند ہیں اور بدتر ، جرمانے۔ اس سے بھی بدتر بات یہ ہے کہ ، کروڈ ریسرچ شراکت داروں کی ایک حالیہ رپورٹ کے مطابق ، صرف 7 فیصد کمپنیاں آج کی ڈیڈ لائن تک جی ڈی پی آر کے مطابق ہونے کی راہ پر گامزن ہیں۔

اور جب آپ آج بھی اقدامات اٹھا سکتے ہیں کہ آپ اپنی کمپنی کو کم سے کم کسی حد تک جی ڈی پی آر سے محفوظ رکھیں ، مکمل تعمیل حاصل کرنا ہلکا پھلکا منصوبہ نہیں ہے۔ ڈیٹا اکٹھا کرنے کے عمل کو متعلقہ ہونا چاہئے کہ اعداد و شمار کو کمپنی کس طرح استعمال کرے گی (مثال کے طور پر ، صارفین کی خریداری کا ڈیٹا لیکن ای کامرس کمپنیوں کے لئے میڈیکل ہسٹری کا ڈیٹا نہیں)۔ کمپنیوں کو قطعی طور پر وضاحت کرنے کے قابل اور قابل ہونا چاہئے کہ کون سا ڈیٹا اکٹھا کیا گیا ہے اور کیوں۔ حفاظتی طریقوں میں نقصان ، نقصان اور تباہی سے محفوظ رکھنے کی واضح صلاحیت کا مظاہرہ کرنا چاہئے ، اور اعداد و شمار کو ضرورت سے زیادہ طویل عرصہ تک نہیں رکھنا چاہئے۔ کوئی بھی کمپنی ضابطے کی تعمیل کرنے میں ناکام رہی ہے تو اس کی سالانہ محصولات میں 4 فیصد ضبطی ہوگی۔

انفارمیشن مینجمنٹ سسٹم فراہم کرنے والے الفریسکو کے اسٹراٹیجک سلویشن لیڈر انکور لاریہ نے کہا ، "یہ قواعد و ضوابط کا کوئی دانتوں سے پاک سیٹ نہیں ہے۔" لاریہ نے یہ معاملہ پیش کیا ہے کہ ضابطے کی ضمنی شرائط کے اندر متعدد امور کی وجہ سے کمپنیوں کو اس کے مطابق رہنا مشکل ہوجائے گا۔ مثال کے طور پر ، کچھ معاملات میں اس لئے قطعی طور پر تحریری اصول شامل ہیں کہ کیوں ڈیٹا اکٹھا کیا جارہا ہے ، جب درخواست کی گئی ہے تو کسٹمر کے ڈیٹا کو صاف کرنے کی ضروریات کو بروئے کار لا رہے ہیں ، اور کچھ کمپنیوں کو مکمل طور پر تعمیل کو یقینی بنانے کے مقصد سے سکیورٹی کے طریقہ کار کو مکمل طور پر بہتر بنانے کی ضرورت ہے۔ پھر بھی ، لارویا کو نہیں لگتا کہ یورپی یونین کے ارد گرد گندگی پھیل رہی ہے۔

انہوں نے پیش گوئی کی ہے کہ "یورپی یونین مجرموں کے پیچھے چلے گی۔" "اگر اس پر عمل درآمد کیا جاتا ، تو ایکویفیکس بہت پریشانی میں پڑ جاتا۔"

جی ڈی پی آر ، جبکہ بنیادی طور پر یورپی یونین کے شہریوں پر توجہ مرکوز کرتے ہوئے ، امریکی کاروباری مالکان کے لئے ایک ڈراؤنے خواب کا منظر پیش کرتا ہے۔ ، ہم جی ڈی پی آر کی تعمیل کی طرف سفر شروع کرنے کے لئے امریکیوں کو جاننے کی ضرورت کو ختم کردیں گے۔

1. امریکی کمپنیوں کو تعمیل کرنے کی ضرورت ہوگی

اگر آپ کی ماں اور پاپ کتاب کی دکان نے کبھی بھی آپ کے گھر کے شہر سے باہر کوئی پیکیج نہیں ارسال کیا ہے تو پھر آپ کو جی ڈی پی آر کے ساتھ اپنے آپ کو فکر کرنے کی ضرورت نہیں ہوگی۔ تاہم ، اگر آپ کے پاس یوروپی یونین پر مبنی ایک بھی صارف ہے تو ، آپ کو فوری طور پر جی ڈی پی آر کے مطابق بننے کا عمل شروع کرنے کی ضرورت ہوگی۔ ضمنی قوانین کے تحت ، یوروپی یونین کے شہریوں کے کوائف کو محفوظ کرنا ضروری ہے اور اگر آپ شہری کو درخواست کرتے ہیں تو آپ کو مذکورہ ڈیٹا فراہم کرنا ہوگا۔ زیادہ اہم بات یہ ہے کہ ، اگر آپ شہری درخواست کرتا ہے تو آپ کو اپنے سسٹم سے اس ڈیٹا کو صاف کرنے کی ضرورت ہوگی۔ اگر آپ ایسا نہیں کرتے اور جی ڈی پی آر واچ ڈاگ کو پتہ چل جاتا ہے ، تو آپ اپنی سالانہ آمدنی کا 4 فیصد کھونے کے ل. کھڑے ہوجائیں گے۔

"اگرچہ یہ ایک یورپی یونین کی ہدایت ہے ، اس کا اثر پوری دنیا کی کسی بھی کمپنی پر پڑتا ہے جس میں EU کے باشندے بطور صارفین ہوں۔" IDC کے سیکیورٹی ریسرچ کے نائب صدر پیٹ لنڈسٹروم نے کہا۔ "اگر آپ کے پاس ایڈریس فیلڈز ہیں اور وہ ایک یورپی پتہ ہے تو ، انہیں ممکنہ طور پر یورپی سمجھا جائے گا۔"

یورپی یونین میں واقع کمپنی کا صدر دفتر یا اسکوکی ، الینوائے جیسے شہر میں کوئی فرق نہیں ہے۔ اس کے بجائے قانون ذاتی طور پر قابل شناخت معلومات (PII) پر مرکوز ہے اور جہاں اعداد و شمار سے وابستہ شخص رہتا ہے۔ ہر ایک جس کے پاس یورپی صارف پر کسی بھی قسم کا PII ڈیٹا موجود ہے اس کی تعمیل کرنا ہوگی۔

یہاں تک کہ اگر آپ کی کمپنی کے کچھ یوروپی یونین پر مبنی صارفین ہیں ، تو یہ امکان نہیں ہے کہ آپ کے مقامی اسٹور کی جی ڈی پی آر واچ ڈاگ کے ذریعہ آڈٹ ہوجائے۔ لیکن بڑی کمپنیاں ، جیسے فیس بک اور یاہو ، جی ڈی پی آر کو اسکرٹ کرنے کے طریقے کے طور پر امریکی بیعت کا دعوی نہیں کرسکیں گی۔

لاریہ نے کہا ، "اگر آپ ماں اور پاپ ہیں اور آپ کی خلاف ورزی ہوتی ہے تو آپ قانونی طور پر ذمہ دار ہیں۔" "یہ کہنا مشکل ہے کہ اگر وہ حقیقت میں آپ کے بعد آئیں گے… ہر یوروپی یونین کے رکن ریاست کے پاس تعمیل کا دفتر ہوگا۔ وہ دفتر ہر شخص کی تعمیل اسکیم طلب کرے گا۔ وہ اپنے جغرافیے میں کاروبار کرنے والی کمپنیوں کی انوینٹری بنائیں گے۔ وہ بڑے لڑکوں کی جانچ پڑتال کرنے اور سوال پوچھنا شروع کرنے جارہے ہیں۔

جب امریکی کمپنیوں کی تعمیل نہیں ہوتی ہے تو وہ امریکی حکومت سے ان کی حفاظت کرنے کی توقع نہیں کرنی چاہئے جب جی ڈی پی آر کے حمایت یافتہ یورپی یونین کی ریاستوں نے اس ضبط شدہ محصول کو جمع کرنے کی کوشش کی۔ لارویا نے کہا ، "امریکی حکومت مجبور ہے کہ وہ یہ یقینی بنائے کہ ان فیصلوں پر عمل درآمد ہو۔" "ان پر عمل درآمد کیا گیا ہے یا نہیں ، ابھی دیکھنا باقی ہے ، لیکن یورپی یونین میں حکومت کو لڑنا ہوگا۔"

2. 25 مئی کا مطلب ہے 25 مئی

اگرچہ یہ ریگولیشن آج ، 25 مئی ، 2018 کو نافذ العمل ہے ، اس قانون کی یوروپی یونین کی پارلیمنٹ نے 14 اپریل ، 2016 کو توثیق کی تھی۔ اس کا مطلب ہے جہاں تک یورپی یونین کا تعلق ہے ، کمپنیوں کو جی ڈی پی آر کی تعمیل کرنے کے لئے کافی وقت ملا ہے۔ . لہذا ، اگر کل آپ کی کمپنی کو بڑے پیمانے پر سائبریٹیک کا سامنا کرنا پڑتا ہے اور آپ نے صارفین ، ویب سائٹ زائرین ، اور یہاں تک کہ شراکت داروں پر بھی اکٹھا کیا ہوا اعداد و شمار کو ناگوار تاریک ویب پر پھنسا دیا ہے ، تو آپ "ناکافی وقت" کے طور پر دعوی نہیں کرسکتے ہیں۔ یورپی یونین کے شہریوں کے اعداد و شمار کو ظاہر کرنے کا عذر۔

لاریہ نے کہا ، "یہ قوانین نافذ العمل ہیں۔ "آپ سے کہا جاسکتا ہے کہ وہ پہلے ہی تعمیل میں اپنا سفر دکھائے۔ کیا آپ نے ایجاد کی ہے؟ یوروپی یونین کے شہری سے آپ کے ڈیٹا کے بارے میں پوچھنے کے ل your آپ کا پروٹوکول کیا ہے؟ ان کمپنیوں کو ابھی سے یہ معلومات طلب کی جاسکتی ہیں۔ اگلے سال ان پر جرمانہ عائد کرنا شروع ہوجائے گا۔ وہ مئی کے بعد تعمیل کا مظاہرہ نہیں کرسکتے ہیں۔ "

3. کسی توسیع کی توقع نہ کریں

ہمارے پاس امریکہ میں بیشتر قانونی ضابطہ وارانہ لڑائیوں کے برعکس (مثال کے طور پر ، نیٹ غیرجانبداری) ، یوروپی یونین میں کسی نے بھی 24 مئی ، 2018 کو جی ڈی پی آر کو چیلنج کرنے کے لئے قدم نہیں اٹھایا اور اس طرح ریگولیشن غیر معینہ مدت کے لئے ملتوی کردیا۔ یوروپین یہ چاہتے تھے اور اب وہ مل گئے۔

لاوریہ نے کہا ، "ضوابط کو ترتیب دینے کے طریقے کی یہی خوبصورتی ہے۔" "چونکہ انھوں نے کارپوریشنوں کو اپنے کام کو درست کرنے کے لئے ایک سال دیا ، لہذا قانونی چارہ جوئی کے نقطہ نظر سے وہاں کوئی چیلینج نہیں ہوا ہے۔ اگر ہم یہ دیکھنا چاہتے تو ایسا ہوچکا ہوتا۔ کیا کوئی ان کے خلاف مقدمہ چلانے کے بعد ایسا کرسکتا ہے؟ مجھے یقین ہے کہ وہ کوشش کریں گے ، لیکن اس وقت یہ ان پر برا نظر آئے گا۔

4. تعمیل کرنے کیلئے آپ کو کیا کرنا ہوگا

جیسا کہ ضابطے کی ضرورت ہوتی ہے ، آپ کو تعمیل کے عمل کو سنبھالنے کے لئے کسی کو ذمہ دار بنانا ہوگا۔ یہ شخص ، جس کو جی ڈی پی آر قانون "ڈیٹا پروٹیکشن آفیسر" (ڈی پی او) کا نام دیتا ہے ، جی ڈی پی آر کی نگرانی ٹیم کو جس طرح سے آپ کی کمپنی اپنے ڈیٹا کو محفوظ بنا رہی ہے اس کے ذریعے چلنے کے لئے وہ اہم شخص ہوگا۔ یہ شخص آپ کی کمپنی کے اندر کاروبار کی مختلف لائنوں کو اکٹھا کرنے کے لئے بھی ذمہ دار ہوگا جس میں جی ڈی پی آر کے مطابق ہونے اور حاصل کرنے کے لئے کوئی طریقہ کار تیار کیا جاسکے۔

مختصر طور پر ، ڈی پی او کے فرائض چار اہم اقسام میں تقسیم ہوں گے۔

• پہلے ، انھیں جی ڈی پی آر کی تفصیلات سے اتنا واقف ہونا ضروری ہے کہ وہ نہ صرف ابتدائی تعمیل کے عمل کے لئے بلکہ مستقبل میں جی ڈی پی آر سے متعلق ڈیٹا سے نمٹنے والے تمام سوالات کے لئے بھی ایک اہم شخص کی حیثیت سے کام کریں ، اور یقینا enough اتنا بھی کہ وہ دونوں سینئروں کے ذریعہ سوالات کھڑا کرسکیں۔ ایگزیکٹوز اور ڈیٹا زمین پر IT آپریٹرز کو ہینڈل کرتے ہیں۔
• دوسرا ، انہیں آپ کی تنظیم میں ڈیٹا کو ہینڈل کرنے کے تمام جاری عمل پر نظر رکھنے اور ذاتی ڈیٹا کی حفاظت کے سلسلے میں ان کی تاثیر کا اندازہ کرنے کی ضرورت ہوگی۔
• تیسرا ، ان کے پاس آپ کے کاروبار کے کسی بھی شعبے پر آڈٹ اور نگرانی کی قابلیت رکھنے کی ضرورت ہے جس کا جی ڈی پی آر کے ذریعہ اثر پڑسکتا ہے اور مستقل بنیاد پر تعمیل کے لئے ان کا جائزہ لیتے ہیں۔
• اور آخر میں ، انہیں آپ کی صنعت کے لئے جی ڈی پی آر کے حکام سے رابطے میں رکھنے ، ان کے ساتھ تعاون کرنے اور اس اختیار سے آنے والی کسی بھی درخواستوں کے لئے نقطہ فرد کی حیثیت سے کام کرنے کی ضرورت ہے۔

یہ سب ایک ایسے فرد کی طرف ابلتا ہے جو اعداد و شمار کے بہاؤ ، اور ڈیٹا سے متعلق حفاظتی اقدامات اور ٹکنالوجیوں کے ساتھ ساتھ جی ڈی پی آر قانون سازی کی تفصیلات کا ہی نہیں بلکہ اس سے متعلق E- رازداری کی ہدایت جیسے یورپی یونین سے متعلق اور متعلقہ قانون کا بھی علم رکھتا ہے۔ ممکنہ طور پر ان صلاحیتوں کی کمی نے کاروبار اور آئی ٹی مشاورت کے لئے گرین فیلڈ مواقع کا ایک موقع پیدا کردیا ہے ، لیکن ، اگر آپ گھر میں یہ ہنر پیدا کرنے کی تلاش کر رہے ہیں تو ، اچھی بات یہ ہے کہ انگریزی بولنے والے ، یورپی آن لائن سیکھنے کے وسائل تلاش کریں ، جن میں سے بہت سے لوگوں نے اس مقصد کے لئے جی ڈی پی آر ڈی پی او کورس ویئر تیار کیا ہے۔ مزید برآں ، ملٹی نیشنل انڈسٹری آرگنائزیشنز ، جیسے انٹرنیشنل ایسوسی ایشن آف پرائیویسی پروفیشنلز (IAPP) ، جی ڈی پی آر ٹریننگ کورس ویئر اور سندوں کی پیش کش کررہی ہیں۔

مزید تکنیکی نوٹ پر ، مطابقت پذیر رہنے کے ل you'll ، آپ کو جسمانی سرورز ، نیٹ ورک سے منسلک اسٹوریج (این اے ایس) ، ڈسک اور ڈرائیوز ، اور نیٹ ورک تک رسائی کے ل at کم از کم ایک خفیہ کاری کا طریقہ استعمال کرنا ہوگا۔ PII تک رسائی حاصل کرنے اور PII ڈیٹا شامل کرنے والے لین دین کے ل You آپ کو ملازمین کی شناخت کی توثیق کرنے اور ملٹی فیکٹر استناد (MFA) کی ضرورت ہوگی۔ آپ کو کسی ایسے عمل کو ختم کرنے کی ضرورت ہوگی جو غیر مجاز مقاصد کے لئے ڈیٹا تک رسائی یا اس پر کارروائی کرتے ہیں ، مطابقت کو یقینی بنانے کے لئے اعداد و شمار کی مستقل نگرانی اور توثیق کرتے ہیں ، اور جب ایسا کرنے کو کہا جاتا ہے تو اسے مکمل طور پر اور ناقابل تلافی طور پر صاف کرنا پڑتا ہے۔ جاری تعمیل کو یقینی بنانے کے لئے تنظیموں کو مکمل رسک کی جانچ پڑتال کرنے اور شراکت داروں کے ساتھ کام کرنے کی ضرورت ہوگی ، خاص طور پر وہ جو پروگرامنگ انٹرفیس (APIs) کے ذریعے منسلک ہیں۔

آخر میں ، اگر آپ کی تنظیم کے ڈیٹا کی خلاف ورزی کی گئی ہے ، تو پھر آپ کو اپنے متعلقہ جی ڈی پی آر سپروائزر کو فوراify مطلع کرنے کی ضرورت ہوگی تاکہ اس کی خلاف ورزی اور اس کے نتائج کو مکمل طور پر بیان کیا جاسکے۔ اور آپ کو متاثرہ صارفین تک اس خلاف ورزی کی افادیت کو بتانے کی ضرورت ہوگی۔

5. امریکی صارفین

لارویا نے کہا کہ بالآخر عمدہ کاروبار کا احساس ہے تاکہ وہ کسٹمر کی معلومات کے محافظ اور محافظ بن سکے۔ لورویا نے کہا ، "آپ کو آخر کار گاہک کی افادیت نقطہ نگاہ سے دیکھنا ہوگا۔" "یہی وجہ ہے کہ یہ کمپنیاں کاروبار میں ہیں۔ ہاں ، جبکہ یہ کاروبار کے لئے تکلیف دہ ہے ، کمپنیوں نے ٹکنالوجی میں سرمایہ کاری نہیں کی ہے اور نہ ہی بدعت کی رفتار کو برقرار رکھا ہے۔"

بدقسمتی سے ، اسی طرح کے امریکی قواعد کتابیں نہیں ہیں۔ نیویارک میں مالیاتی خدمات کے محکمہ برائے سائبر سیکیورٹی کے تقاضوں کے تحت نیویارک میں کاروبار کرنے والی کمپنیاں ایک خاص حد تک احاطہ کرتی ہیں۔ اس ضابطے کے لئے نیویارک میں مقیم کاروباروں کو تحریری پالیسی یا پالیسیوں کو نافذ کرنے اور برقرار رکھنے کی ضرورت ہے ، جس کی منظوری کسی سینئر آفیسر یا کوریڈ ایکٹی کے بورڈ آف ڈائریکٹرز (یا اس کی مناسب کمیٹی) یا مساوی گورننگ باڈی کے ذریعہ دی گئی ہو۔ تحریری قانون کے مطابق یہ انفارمیشن سسٹمز اور غیر جمہوری معلومات کو ان انفارمیشن سسٹم پر محفوظ کردہ انفارمیشن سسٹمز اور نان پبلک انفارمیشن کے تحفظ کے ل C کوریڈ ہستی کی پالیسیاں اور طریقہ کار طے کرتا ہے۔

کولوراڈو جیسی دوسری ریاستوں میں بھی اسی طرح کے ضوابط کو نافذ کرنے پر تبادلہ خیال کیا گیا ہے۔ تاہم ، کوئی واضح امریکی وفاقی قانون موجود نہیں ہے۔ لیکن لاریہ پرامید ہیں کہ امریکہ اگلا ہی ہوگا۔ انہوں نے کہا ، "امریکیوں کے پاس اس طرح کے حقوق نہیں ہیں۔" "لیکن اس کو پانچ سال دو۔"