ڈیٹا کنٹرولر کون ہوتا ہے؟
قطر کے ڈیٹا تحفظ قانون کے تحت، کنٹرولر وہ شخص یا ادارہ ہوتا ہے جو ذاتی ڈیٹا کی پروسیسنگ کے مقاصد اور طریقے طے کرتا ہے۔ عملی طور پر، یہ درج ذیل ہو سکتے ہیں:
- آپ کا آجر جو آپ کے ایچ آر اور تنخواہ کے ریکارڈ رکھتا ہو
- کوئی ہسپتال یا کلینک جو آپ کے طبی ریکارڈ کا انتظام کرے
- کوئی بینک یا مالیاتی ادارہ جو آپ کے اکاؤنٹ کی تفصیلات رکھتا ہو
- کوئی ٹیلی کام کمپنی جو آپ کے سبسکرپشن ڈیٹا کا انتظام کرے
- کوئی مکان مالک جو آپ کے پاسپورٹ اور قطری شناختی کارڈ (QID) کی نقول رکھتا ہو
- کوئی آن لائن کاروبار یا ایپ جو آپ کا استعمال کا ڈیٹا اکٹھا کرے
پروسیسر وہ فریق ہوتا ہے جو کنٹرولر کی جانب سے ڈیٹا پروسیس کرتا ہے — مثلاً کوئی تھرڈ پارٹی تنخواہ ادا کرنے والی کمپنی یا کلاؤڈ اسٹوریج فراہم کنندہ۔
رضامندی کی شرط
آرٹیکل 4 ایک بنیادی اصول قائم کرتا ہے: کنٹرولر کو آپ کا ذاتی ڈیٹا پروسیس کرنے سے پہلے آپ کی پیشگی رضامندی حاصل کرنا لازمی ہے، سوائے اس صورت کے جب پروسیسنگ کسی قانونی مقصد کے حصول کے لیے ضروری ہو۔ اس کا مطلب ہے کہ ادارے آپ کے علم یا اجازت کے بغیر آپ کا ڈیٹا اکٹھا اور استعمال نہیں کر سکتے۔
بیرون ملک مقیم افراد کے لیے یہ خاص طور پر اہم ہے جب:
- ایسے روزگار کے معاہدوں پر دستخط کریں جن میں ڈیٹا شیئرنگ کی شقیں شامل ہوں
- ایسی خدمات میں رجسٹریشن کرائیں جو آپ کے پاسپورٹ یا QID کی نقول طلب کریں
- ایسی ایپس یا پلیٹ فارمز کو سبسکرائب کریں جو آپ کا مقام یا رویے کا ڈیٹا اکٹھا کریں
پروسیسنگ شروع ہونے سے پہلے شفافیت کی ذمہ داریاں
آرٹیکل 9 کے تحت، پروسیسنگ شروع ہونے سے پہلے، کنٹرولر کو آپ کو درج ذیل بارے میں آگاہ کرنا ضروری ہے:
- کنٹرولر کی مکمل تفصیلات اور رابطہ معلومات
- وہ قانونی مقاصد جن کے لیے آپ کا ڈیٹا استعمال کیا جائے گا
- کوئی دیگر فریق جو آپ کا ڈیٹا وصول یا پروسیس کر سکتے ہیں
- اس ڈیٹا سے متعلق آپ کے حقوق
اس کا مطلب ہے کہ آپ کا ذاتی ڈیٹا مانگنے والے کسی بھی ادارے کو واضح طور پر بتانا ہوگا کہ انہیں یہ ڈیٹا کیوں چاہیے اور وہ اسے کیسے استعمال کرنے کا ارادہ رکھتے ہیں۔ مبہم یا حد سے زیادہ وسیع انکشافات اس شرط کو پورا نہیں کر سکتے۔
ڈیٹا کے معیار اور درستگی کے معیارات
آرٹیکل 10 کنٹرولرز کو پابند کرتا ہے کہ وہ اس بات کی تصدیق کریں کہ جو ڈیٹا وہ اکٹھا کرتے ہیں وہ:
- بیان کردہ قانونی مقصد سے متعلقہ ہو
- اس مقصد کے حصول کے لیے کافی ہو
- درست، مکمل اور تازہ ترین ہو
کنٹرولرز بغیر کسی جواز کے بڑی مقدار میں ذاتی ڈیٹا جمع نہیں کر سکتے۔ انہیں ڈیٹا کو اس وقت بھی حذف یا اپ ڈیٹ کرنا ہوگا جب وہ درست یا ضروری نہ رہے۔
سلامتی اور تحفظ کی ذمہ داریاں
سب سے اہم ذمہ داریوں میں سے ایک آرٹیکل 13 کے تحت عائد ہوتی ہے، جس کے مطابق کنٹرولرز اور پروسیسرز دونوں کو ذاتی ڈیٹا کو درج ذیل سے بچانے کے لیے تمام ضروری احتیاطی تدابیر اختیار کرنا لازمی ہے:
- ضیاع یا نقصان
- غیر مجاز تبدیلی یا ردوبدل
- غیر قانونی انکشاف یا رسائی
- اتفاقی یا غیر قانونی استعمال
یہ احتیاطی تدابیر متعلقہ ڈیٹا کی نوعیت اور حساسیت کے متناسب ہونی چاہئیں۔ صحت، مالیاتی یا بچوں کے ڈیٹا کا انتظام کرنے والے اداروں پر سلامتی کی ذمہ داری کا معیار زیادہ سخت ہے۔
ڈیٹا کی خلاف ورزی کی اطلاع کی ضروریات
آرٹیکل 14 کنٹرولرز کو پابند کرتا ہے کہ اگر ڈیٹا کی کوئی ایسی خلاف ورزی ہو جو آپ کے ذاتی ڈیٹا یا رازداری کو سنگین نقصان پہنچا سکتی ہو، تو وہ آپ کو بطور فرد اور متعلقہ محکمے دونوں کو فوری اطلاع دیں۔ بیرون ملک مقیم افراد کے لیے یہ ایک اہم حق ہے — اگر آپ کے آجر یا سروس فراہم کنندہ کے ڈیٹا میں خلاف ورزی ہو، تو وہ خاموش نہیں رہ سکتے۔
اگر آپ کو کسی ایسی خلاف ورزی کے بارے میں اطلاع نہیں دی گئی جس کا آپ کو علم ہے، تو یہ قانون کی خلاف ورزی تصور ہو سکتی ہے۔
داخلی نظم و نسق کی ضروریات
آرٹیکل 11 کنٹرولرز کو پابند کرتا ہے کہ وہ اندرونی نظام قائم کریں، جن میں شامل ہیں:
- نئی ڈیٹا پروسیسنگ کارروائیاں شروع کرنے سے پہلے رازداری کے تحفظات کا جائزہ لینا
- ذاتی ڈیٹا کے تحفظ کے لیے مخصوص عملے کی تعیناتی
- ذاتی ڈیٹا سنبھالنے والے ملازمین کی تربیت
- واضح ڈیٹا تحفظ پالیسیاں تیار کرنا
اس کا مطلب ہے کہ بیرون ملک مقیم افراد کے لیے یہ توقع رکھنا مناسب ہے کہ ان کے آجر اور سروس فراہم کنندگان کے پاس دستاویزی رازداری پالیسیاں اور تربیت یافتہ عملہ موجود ہو جو ان کے ڈیٹا کا انتظام کرے۔
عدم تعمیل پر جرمانے
اپنی ذمہ داریاں پوری نہ کرنے والے اداروں کو بھاری مالی جرمانوں کا سامنا کرنا پڑتا ہے:
- رضامندی، شفافیت، ڈیٹا کے معیار اور خلاف ورزی کی اطلاع سمیت بنیادی ذمہ داریوں کی خلاف ورزی پر 10 لاکھ قطری ریال تک (آرٹیکل 23)
- ڈیٹا سیکیورٹی اور خصوصی زمرے کے ڈیٹا کے تحفظ میں ناکامی پر 50 لاکھ قطری ریال تک (آرٹیکل 24)
- ان کی جانب سے کی گئی خلاف ورزیوں کے لیے ذمہ دار قانونی اشخاص (کمپنیوں) پر 10 لاکھ قطری ریال تک (آرٹیکل 25)
کوئی بھی معاہدہ یا سمجھوتہ جو ان احکامات کی خلاف ورزی کرے، آرٹیکل 28 کے تحت کالعدم اور باطل تصور کیا جاتا ہے۔
بیرون ملک مقیم فرد کے طور پر آپ کو کیا کرنا چاہیے
- نئی ملازمت شروع کرتے وقت اپنے آجر سے ڈیٹا تحفظ پالیسی کی نقل طلب کریں
- دستخط کرنے سے پہلے کسی بھی رضامندی کے فارم کا بغور جائزہ لیں، خاص طور پر تھرڈ پارٹیز کے ساتھ آپ کا ڈیٹا شیئر کرنے سے متعلق شقوں کا
- اگر آپ کو یقین ہو کہ آپ کے ڈیٹا سے سمجھوتہ کیا گیا ہے اور آپ کو اطلاع نہیں دی گئی، تو متعلقہ محکمے کو مشتبہ خلاف ورزی کی اطلاع دیں
- اپنے آجر سے پوچھیں کہ آپ کے ذاتی ڈیٹا کے انتظام کا ذمہ دار کون ہے اور کیا حفاظتی اقدامات موجود ہیں