app.brand
en English ar العربية ru Русский zh 中文 fr Français

دبئی مالی مرکز میں ڈیٹا تحفظ قانون کے تحت کمپنیوں کی ذمہ داریاں

دبئی مالی مرکز میں ڈیٹا تحفظ قانون کے تحت کمپنیوں کی ذمہ داریاں

آج ذاتی ڈیٹا کاروبار کے قیمتی ترین اثاثوں میں شمار ہوتا ہے، اور ساتھ ہی اداروں کے لیے قانونی ذمہ داری کے حساس ترین ذرائع میں سے ایک بھی ہے۔ ہر نام، فون نمبر، ای میل پتہ اور لین دین کا ریکارڈ ایک سخت ضابطہ کار کے تحت آتا ہے جو کمپنیوں کو پابند کرتا ہے کہ وہ جمع کیے گئے ڈیٹا کی حفاظت کریں، اور افراد کو اپنے ڈیٹا پر حقیقی اختیار دیتا ہے۔ دبئی انٹرنیشنل فنانشل سینٹر کے دائرے میں قانونِ تحفظِ ڈیٹا ایک جامع فریم ورک وضع کرتا ہے جو ایک طرف معلومات کی آزادانہ روانی اور کاروباری ضروریات کو، اور دوسری طرف صاحبانِ ڈیٹا کے بنیادی حقوق کو متوازن رکھتا ہے۔ اس مضمون میں ہم اس قانون کے تحت کمپنیوں کی نمایاں ذمہ داریوں اور افراد کو حاصل حقوق کی وضاحت کرتے ہیں، عملی انداز میں تاکہ ادارے اور افراد اپنی قانونی پوزیشن سمجھ سکیں۔

دبئی انٹرنیشنل فنانشل سینٹر کے قانونِ تحفظِ ڈیٹا کے تحت کمپنیوں کی ذمہ داریاں اور افراد کے حقوق کیا ہیں؟

قانون کا دائرۂ اطلاق اور اس کے تابع افراد

قانونِ تحفظِ ڈیٹا دبئی انٹرنیشنل فنانشل سینٹر کی جانب سے جاری کیا گیا اور پچھلے قانون کو منسوخ کر کے اس کی جگہ نافذ ہوا، اور بعد ازاں تازہ ترین ترامیم کے بعد اس کے مجموعی نسخے میں تجدید کیا گیا۔ قانون کا مقصد ذاتی ڈیٹا کی پروسیسنگ اور آزادانہ نقل و حرکت کے لیے معیارات اور ضوابط فراہم کرنا، اور صاحبانِ ڈیٹا کے بنیادی حقوق کا تحفظ کرنا ہے، بشمول یہ کہ یہ حقوق ابھرتی ہوئی ٹیکنالوجیز پر کیسے لاگو ہوتے ہیں۔

قانون اِن پر لاگو ہوتا ہے:ذاتی ڈیٹا کی خودکار ذرائع سے پروسیسنگ، اور غیر خودکار ذرائع سے بھی جب ڈیٹا کسی منظم فائلنگ نظام کا حصہ ہو؛ ہر اُس کنٹرولر یا پروسیسر پر جو مرکز میں قائم ہو خواہ پروسیسنگ کہیں بھی ہو؛ اور ہر اُس پروسیسنگ پر جو مرکز کے اندر کی جائے، قطع نظر اس کے کہ قیام کہاں ہوا۔
قانون اِن پر لاگو نہیں ہوتا:افراد کی جانب سے خالص ذاتی یا گھریلو سرگرمی کے دوران ذاتی ڈیٹا کی ایسی پروسیسنگ جس کا کسی تجارتی مقصد سے تعلق نہ ہو۔ قانون کے اطلاق کی نگرانی مرکز کا کمشنرِ تحفظِ ڈیٹا کرتا ہے، جسے نگرانی، تفتیش اور سزا عائد کرنے کے اختیارات حاصل ہیں۔

ڈیٹا پروسیسنگ پر حاکم عمومی اصول

قانون ہر اُس کمپنی سے جو ذاتی ڈیٹا پروسیس کرتی ہے تقاضا کرتا ہے کہ وہ بنیادی اصولوں کے مجموعے کی پابندی کرے اور کمشنر کے سامنے اپنی تعمیل ثابت کر سکے۔ یہ اصول تعمیل کی ریڑھ کی ہڈی ہیں:

قانونی حیثیت اور شفافیت
ڈیٹا کو صاحبِ ڈیٹا کے ساتھ قانونی، منصفانہ اور شفاف طریقے سے پروسیس کیا جائے۔
مقصد کی تحدید
متعین، واضح اور جائز مقاصد کے لیے جمع کیا جائے جو جمع کرتے وقت طے ہوں، اور اس کے منافی استعمال نہ ہو۔
ڈیٹا کی تقلیل
مقصد کے لیے جو متعلقہ اور ضروری ہے اسی تک محدود، بلا جواز توسیع کے بغیر۔
درستی
درست اور بوقتِ ضرورت تازہ رکھا جائے، بلا غیرضروری تاخیر تصحیح یا حذف کے ساتھ۔
ذخیرے کی تحدید
ایسی صورت میں رکھا جائے جو صاحبِ ڈیٹا کی شناخت صرف مقصد کے لیے ضروری مدت تک ممکن بنائے۔
سلامتی اور جوابدہی
مناسب تکنیکی و تنظیمی تدابیر سے محفوظ رکھا جائے؛ تعمیل ثابت کرنے کا بوجھ کنٹرولر پر ہے۔

قانونی بنیاد: بغیر بنیاد کے کوئی پروسیسنگ نہیں

کمپنی کسی بھی ذاتی ڈیٹا کو پروسیس نہیں کر سکتی جب تک کہ قانون میں حصراً متعین کردہ قانونی بنیادوں میں سے کم از کم ایک پر انحصار نہ کرے:

رضامندیمخصوص مقاصد کے لیے صاحبِ ڈیٹا کی رضامندی
معاہدہایسے معاہدے کی تکمیل جس کا فریق صاحبِ ڈیٹا ہو
قانونی پابندیقابلِ اطلاق قانون کی تعمیل
حیاتی مفاداتصاحبِ ڈیٹا یا کسی دوسرے کی جان کا تحفظ
عوامی مفادمرکز کے مفاد میں کسی ادارے کا فریضہ
جائز مفاداتجب تک صاحبِ ڈیٹا کے حقوق ان پر غالب نہ ہوں
ڈیٹا کی خصوصی اقسام: حساس ڈیٹا اضافی شرائط کے تابع ہے اور صرف مخصوص صورتوں میں پروسیس کیا جا سکتا ہے، جیسے صریح رضامندی، روزگار سے متعلق مقاصد کے لیے ضروری ہونا، حیاتی مفادات کا تحفظ، یا مقصد کے ساتھ متناسب جوہری عوامی مفاد کی بنیادیں۔

کمپنیوں کی ذمہ داریاں (کنٹرولر اور پروسیسر)

درست رضامندی
جب بنیاد رضامندی ہو تو وہ آزادانہ طور پر ایک واضح مثبت فعل کے ذریعے دی جائے جو بلا ابہام رضا ظاہر کرے، اور کمپنی اس کے حصول کو ثابت کرنے اور اس کی واپسی کا انتظام کرنے کے قابل ہو، جاری پروسیسنگ میں وقتاً فوقتاً اس کی تجدید کے ساتھ۔
جوابدہی اور بطورِ ڈیزائن تحفظ
کمپنی مناسب تکنیکی و تنظیمی تدابیر نافذ کرنے اور «ڈیزائن کے مرحلے سے اور بطورِ پیش فرض ڈیٹا کے تحفظ» کے اصول کو اپنانے کی پابند ہے، تاکہ بطورِ پیش فرض صرف ہر مقصد کے لیے ضروری ڈیٹا ہی پروسیس ہو، اور جہاں قانون تقاضا کرے کمشنر کے پاس رجسٹریشن کرے۔
پروسیسنگ سرگرمیوں کا ریکارڈ
کنٹرولر اور پروسیسر پروسیسنگ سرگرمیوں کا تحریری ریکارڈ رکھتے ہیں جس میں صاحبانِ ڈیٹا کی اقسام، ڈیٹا کی اقسام اور وصول کنندگان کی اقسام، تیسرے ممالک یا بین الاقوامی اداروں کو کوئی منتقلی اور اس کی ضمانتیں، حذف کی مدتیں اور جہاں ممکن ہو سلامتی تدابیر کا عمومی بیان شامل ہو۔
ڈیٹا پروٹیکشن آفیسر (DPO)
DPO کا تقرر مرکز کے اداروں پر، اور ہر اُس کنٹرولر یا پروسیسر پر لازم ہے جو «اعلیٰ خطرے والی پروسیسنگ سرگرمیاں» منظم یا باقاعدہ طور پر انجام دیتا ہو۔ آفیسر کو مطلوبہ مہارت اور خودمختاری حاصل ہو، اعلیٰ انتظامیہ تک براہِ راست رسائی ہو، اور وہ سالانہ تعمیل کا جائزہ لے۔
اثرات کا جائزہ اور پیشگی مشاورت
اعلیٰ خطرے والی پروسیسنگ سے قبل کمپنی ڈیٹا کے تحفظ سے متعلق اثرات کا جائزہ لیتی ہے جو افراد کے حقوق پر خطرات اور ان کے ازالے کی تدابیر کا تجزیہ کرتا ہے، اور پیشگی طور پر کمشنر سے مشاورت کر سکتی ہے، اور اس مشاورت کے نتیجے میں جاری کسی ہدایت کی پابندی کرتی ہے۔
پروسیسرز اور مرکز سے باہر منتقلی
پروسیسرز کے ساتھ معاملات ایک پابند تحریری معاہدے کے تحت ہوتے ہیں جو ذمہ داریاں، رازداری کے فرائض اور ذیلی پروسیسرز کے ضوابط طے کرتا ہے۔ ڈیٹا مرکز سے باہر صرف ایسی منزل کو منتقل ہو سکتا ہے جہاں تحفظ کی مناسب سطح ہو، یا مناسب ضمانتوں کے تحت جب ایسی مناسبت موجود نہ ہو۔
پروسیسنگ کا اختتام اور شفاف اطلاع
جب مقصد ختم ہو جائے یا رضامندی واپس لے لی جائے، کمپنی پروسیسنگ روک دینے اور ڈیٹا کو حذف، گمنام، نام بدل کر یا خفیہ کرنے یا مزید استعمال سے باہر کرنے کی پابند ہے، اور رازداری کے نوٹسز کے ذریعے افراد کو واضح معلومات فراہم کرے کہ ان کا ڈیٹا کیسے پروسیس ہوتا ہے۔

افراد کے اپنے ذاتی ڈیٹا پر حقوق

قانون صاحبِ ڈیٹا کو قابلِ نفاذ حقوق کا مجموعہ دیتا ہے، اور کمپنی کو ان کے استعمال کے لیے کم از کم دو طریقے فراہم کرنے ہوں گے:

رضامندی کی واپسی
جب رضامندی پروسیسنگ کی بنیاد ہو تو کسی بھی وقت اسے واپس لینے کا مطلق حق۔
رسائی، تصحیح اور حذف
ڈیٹا کی تصدیق اور نقل حاصل کرنا اور اس کی تصحیح یا حذف کا مطالبہ — بلا معاوضہ اور درخواست کے ایک ماہ کے اندر۔
پروسیسنگ پر اعتراض
کسی خاص پروسیسنگ پر اعتراض؛ اعتراض جائز سمجھا جائے گا جب تک کمپنی غالب وجوہات ثابت نہ کرے۔
پروسیسنگ کی تحدید
ڈیٹا کی درستی پر تنازع یا غیرقانونی پروسیسنگ جیسی صورتوں میں تحدید کا مطالبہ۔
ڈیٹا کی منتقلی
ڈیٹا کو قابلِ منتقلی صورت میں حاصل کرنا اور جہاں تکنیکی طور پر ممکن ہو براہِ راست کسی دوسرے فریق کو منتقل کرانا۔
خودکار فیصلے اور پروفائلنگ
صرف خودکار پروسیسنگ پر مبنی ایسے فیصلے پر اعتراض جس کے قانونی یا اہم اثرات ہوں، اور انسانی نظرثانی کا مطالبہ۔
عدمِ امتیاز
محض قانون کے دیے گئے حقوق کے استعمال پر کم سازگار سلوک کا نشانہ نہ بننا۔
وصول کنندگان کو اطلاع
ڈیٹا کی تصحیح، حذف یا تحدید پر کنٹرولر وصول کنندگان کو مطلع کرے۔

ذاتی ڈیٹا کی خلاف ورزی کی اطلاع

کمشنر کو اطلاعجب کوئی خلاف ورزی صاحبِ ڈیٹا کی رازداری، سلامتی یا نجی زندگی کو متاثر کرے، کنٹرولر جلد از جلد ممکنہ طور پر کمشنر کو مطلع کرتا ہے، خلاف ورزی کی نوعیت، اس کے ممکنہ نتائج اور اٹھائے گئے اقدامات بیان کرتے ہوئے۔ پروسیسر بلا غیرضروری تاخیر کنٹرولر کو مطلع کرتا ہے۔
صاحبِ ڈیٹا کو اطلاعجب خلاف ورزی فرد کی سلامتی یا حقوق پر اعلیٰ خطرے کا اندیشہ رکھتی ہو، کنٹرولر اسے جلد از جلد، اور فوری نقصان کے خطرے کی صورت میں فوراً، واضح زبان میں اطلاع دیتا ہے، آثار کم کرنے کی سفارشات کے ساتھ۔ خلاف ورزیوں کو تحریری طور پر بھی دستاویز کیا جائے۔

سزائیں، ذمہ داری اور معاوضے کا حق

کمشنر کو اختیار حاصل ہے کہ وہ ہدایات جاری کرے اور قانون کے ساتھ منسلک سزاؤں کی فہرست کے تحت خلاف ورزی کرنے والوں پر انتظامی جرمانے عائد کرے، اس کے ساتھ ایک عمومی جرمانے کا اختیار بھی۔ ذیل میں ڈالر میں زیادہ سے زیادہ جرمانوں کی مثالیں ہیں:

50,000$
عمومی اصولوں، قانونی پروسیسنگ کے تقاضوں یا سلامتی تدابیر کی خلاف ورزی
75,000$
افراد کو پروسیسنگ کی مطلوبہ معلومات فراہم نہ کرنا
100,000$
رسائی، تصحیح، اعتراض اور حذف جیسے افراد کے حقوق کی خلاف ورزی
دیوانی ذمہ داری اور براہِ راست دعوے کا حق: کنٹرولر غیرقانونی پروسیسنگ سے ہونے والے نقصان کا ذمہ دار ہے، اور پروسیسر اُس وقت ذمہ دار ہے جب وہ اپنی ذمہ داریوں کی خلاف ورزی کرے یا کنٹرولر کی ہدایات سے باہر عمل کرے، اور مؤثر معاوضے کو یقینی بنانے کے لیے ذمہ داری مشترکہ و انفرادی ہو سکتی ہے۔ خلاف ورزی کے نتیجے میں نقصان اٹھانے والا صاحبِ ڈیٹا معاوضے کے لیے براہِ راست عدالت سے رجوع کر سکتا ہے، کمشنر کے پاس شکایت درج کرانے کے حق کے علاوہ۔

قانونی حوالہ جات

حاکم قانون سازی: دبئی انٹرنیشنل فنانشل سینٹر کا قانونِ تحفظِ ڈیٹا نمبر 5 برائے 2020 — مجموعی نسخہ، بمطابق DIFC ترمیمی قانون نمبر 1 برائے 2025 اور DIFC قانون نمبر 2 برائے 2022۔

متعلقہ دفعات: عمومی اصول (دفعہ 9)، پروسیسنگ کی قانونی حیثیت (دفعہ 10)، خصوصی اقسام (دفعہ 11)، رضامندی (دفعہ 12)، جوابدہی (دفعہ 14)، پروسیسنگ کا ریکارڈ (دفعہ 15)، ڈیٹا پروٹیکشن آفیسر (دفعات 16–19)، اثرات کا جائزہ (دفعہ 20)، ڈیٹا کی منتقلی (دفعات 26–27)، معلومات کی فراہمی (دفعات 29–31)، افراد کے حقوق (دفعات 32–40)، خلاف ورزی کی اطلاع (دفعات 41–42)، ہدایات، جرمانے، ذمہ داری اور نجی دعوے کا حق (دفعات 59–64A)، اور سزاؤں کی فہرست (شیڈول 2)۔
ڈیٹا کے تحفظ کی تعمیل اب کوئی نمائشی اختیار نہیں رہی، بلکہ یہ مرکز میں کام کرنے والے ہر ادارے کی حوکمت کا حصہ ہے؛ اور جو کمپنی اپنی پالیسیاں «بطورِ ڈیزائن تحفظ» کے اصول پر استوار کرتی ہے، وہ خود کو جرمانوں سے اتنا ہی بچاتی ہے جتنا اپنے گاہکوں کی حفاظت کرتی ہے۔
— وکیل عوض المہیری
کیا آپ کو ڈیٹا کے تحفظ اور تعمیل میں مشاورت درکار ہے؟

ہماری قانونی ٹیم اداروں اور افراد کی رازداری پالیسیوں، پروسیسنگ معاہدوں، خلاف ورزی پر ردِعمل کے طریقہ کار، اور قانون کے دیے گئے حقوق کے استعمال میں معاونت کرتی ہے۔

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS

اکثر پوچھے جانے والے سوالات

DIFC کا قانونِ تحفظِ ڈیٹا کن پر لاگو ہوتا ہے؟+
یہ مرکز کے اندر ذاتی ڈیٹا کی پروسیسنگ پر، ہر اُس کنٹرولر یا پروسیسر پر جو مرکز میں قائم ہو خواہ پروسیسنگ کہیں بھی ہو، اور ہر اُس پروسیسنگ پر جو مرکز کے اندر کی جائے، قطع نظر مقامِ قیام کے، لاگو ہوتا ہے۔ یہ کسی تجارتی مقصد سے غیر متعلق خالص ذاتی یا گھریلو سرگرمی پر لاگو نہیں ہوتا۔
کمپنی کو ڈیٹا پروٹیکشن آفیسر (DPO) کب مقرر کرنا چاہیے؟+
تقرر مرکز کے اداروں پر، اور ہر اُس کنٹرولر یا پروسیسر پر لازم ہے جو اعلیٰ خطرے والی پروسیسنگ سرگرمیاں منظم یا باقاعدہ طور پر انجام دیتا ہو، اور کمشنر دیگر اداروں سے بھی تقرر کا تقاضا کر سکتا ہے۔ آفیسر کو مطلوبہ مہارت و خودمختاری اور اعلیٰ انتظامیہ تک براہِ راست رسائی حاصل ہو۔
کمپنی کو رسائی کی درخواست کا جواب کتنی مدت میں دینا ہوتا ہے؟+
صاحبِ ڈیٹا بلا معاوضہ اور درخواست کے ایک ماہ کے اندر اپنے ڈیٹا کی تصدیق اور نقل حاصل کرنے کا حقدار ہے، اُن صورتوں کے تابع جہاں کمپنی قانون میں متعین وجوہات پر معلومات محدود کر سکتی ہے، جیسے تفتیش یا عوامی سلامتی کا تحفظ۔
ڈیٹا کی خلاف ورزی ہونے پر کیا کرنا چاہیے؟+
جب خلاف ورزی ڈیٹا کی رازداری، سلامتی یا نجی زندگی کو متاثر کرے، کنٹرولر جلد از جلد ممکنہ طور پر کمشنر کو مطلع کرتا ہے، اور اگر خلاف ورزی سے اعلیٰ خطرے کا اندیشہ ہو تو صاحبِ ڈیٹا کو بھی، خلاف ورزی کو تحریری طور پر دستاویز کرتے اور آثار کم کرنے کی تدابیر اختیار کرتے ہوئے۔
کیا فرد قانون کی خلاف ورزی پر معاوضے کا مطالبہ کر سکتا ہے؟+
جی ہاں۔ قانون کی خلاف ورزی کے نتیجے میں نقصان اٹھانے والا صاحبِ ڈیٹا معاوضے کے لیے براہِ راست عدالت سے رجوع کر سکتا ہے، کمشنر کے پاس شکایت درج کرانے کے حق کے علاوہ، اور مؤثر معاوضے کو یقینی بنانے کے لیے کنٹرولر اور پروسیسر کی ذمہ داری مشترکہ و انفرادی ہو سکتی ہے۔
آپ کی تعمیل یا حقوق کے استعمال میں مدد کے لیے، ہماری ٹیم آپ کی خدمت میں حاضر ہے۔

ہم سے رابطہ کریں

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS
قانونی مہارت جو آپ کے ڈیٹا اور کاروبار کی حفاظت کرتی ہے
رازداری پالیسیوں اور ڈیٹا پروسیسنگ معاہدوں کی تیاری
خلاف ورزی پر ردِعمل کے طریقہ کار اور شکایات کا اہتمام
افراد کی ان کے حقوق کے استعمال میں نمائندگی
ہماری قانونی مہارت آپ کی خدمت میں
قانونی دستبرداری
یہ مضمون قانونی شعور کے فروغ اور سماجی آگاہی کے مقصد سے تیار کیا گیا ہے، اور یہ کسی مخصوص معاملے میں قانونی مشورہ یا قانونی رائے نہیں ہے۔ قانونی حیثیت ہر معاملے کے حالات کے مطابق مختلف ہوتی ہے، لہٰذا کوئی بھی اقدام کرنے سے پہلے کسی مستند قانونی مشیر سے رجوع کرنے کی تجویز دی جاتی ہے۔ اس مواد کا مطالعہ وکیل و موکل کا تعلق قائم نہیں کرتا۔ اس ترجمے اور عربی نسخے میں اختلاف کی صورت میں عربی متن کو فوقیت حاصل ہوگی۔

دبئی میں ہماری خدمات

AWADH ALMHEIRI LAW FIRM AND LEGAL CONSULTATIONS دبئی میں دبئی انٹرنیشنل فنانشل سینٹر کے اندر اور باہر کام کرنے والے اداروں کو ذاتی ڈیٹا کے تحفظ اور رازداری کی تعمیل کے معاملات میں خدمات فراہم کرتا ہے — حوکمتی فریم ورک کی تعمیر اور رازداری پالیسیوں و پروسیسنگ معاہدوں کی تیاری سے لے کر افراد کی درخواستوں کے انتظام، ڈیٹا کی خلاف ورزی کے واقعات پر ردِعمل اور متعلقہ نگران اداروں کے ساتھ معاملت تک، اس انداز میں کہ کاروباری ساکھ محفوظ رہے اور قانونی خطرات کم ہوں۔

باقی امارات میں ہماری خدمات

ہماری خدمات ابوظبی، شارجہ، عجمان، اُم القیوین، رأس الخیمہ اور فجیرہ میں ہمارے مؤکلین تک پھیلی ہوئی ہیں، جہاں ہم اداروں اور افراد کی رہنمائی کرتے ہیں کہ وہ ریاست کے ضابطہ کار ماحول میں ذاتی ڈیٹا سے متعلق اپنی ذمہ داریوں اور حقوق کو سمجھیں، اور ہم ایسی عملی مشاورت فراہم کرتے ہیں جو کاروباری تقاضوں اور افراد کی نجی زندگی کے تحفظ میں توازن قائم کرنے میں مدد دے، اس شعبے کو متاثر کرنے والی کسی بھی قانونی پیش رفت کی دقیق نگرانی کے ساتھ۔