DSRRM اور GDPR پالیسی
ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کے انتظام اور عمومی ڈیٹا پروٹیکشن ریگولیشن پر EITCA اکیڈمی کی پالیسی
یہ دستاویز یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کی ڈیٹا سبجیکٹ رائٹس کی درخواستوں کے انتظام کی پالیسی کے ساتھ ساتھ EU جنرل ڈیٹا پروٹیکشن ریگولیشن کے نفاذ کی وضاحت کرتی ہے، جس کا باقاعدگی سے جائزہ لیا جاتا ہے اور اس کی تاثیر اور مطابقت کو یقینی بنانے کے لیے اپ ڈیٹ کیا جاتا ہے۔ EITCI ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کے انتظام اور GDPR پالیسی کی آخری اپ ڈیٹ 10 جنوری 2023 کو کی گئی تھی۔ ہماری ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کے انتظام اور GDPR پالیسی ISO 27701 پرائیویسی انفارمیشن مینجمنٹ سسٹم کی ISO 27001 انفارمیشن سیکیورٹی میں توسیع کے اصولوں پر مبنی ہے۔ سسٹم کے معیار کے ساتھ ساتھ جنرل ڈیٹا پروٹیکشن ریگولیشن (2016/679) کی ضروریات پر۔
حصہ 1۔ تعارف
ڈیٹا کے موضوع کے حقوق کی درخواستوں کا نظم کرنا ڈیٹا کے تحفظ کے ضوابط، یعنی GDPR (EU کے جنرل ڈیٹا پروٹیکشن ریگولیشن) کی تعمیل کو یقینی بنانے کا ایک لازمی حصہ ہے۔ یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ نے ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کے انتظام اور GDPR کی ضروریات کو لاگو کرنے کے لیے درج ذیل رسمی طریقہ کار کی وضاحت کی ہے۔
1.1 ڈیٹا کے موضوع کے حقوق کی درخواستوں سے نمٹنے کے لیے ایک عمل کا قیام
یہ عمل ان اقدامات کا خاکہ پیش کرتا ہے جن کی پیروی یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کو سنبھالتے وقت کرتا ہے، بشمول ڈیٹا سبجیکٹ کی شناخت اور توثیق، ڈیٹا سبجیکٹ کی درخواست کی تصدیق، اور درخواست کا جواب۔
1.2 ڈیٹا پروٹیکشن آفیسر (DPO) کو نامزد کرنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ایک ڈی پی او کو نامزد کرتا ہے جو ڈیٹا کے موضوع کے حقوق کی درخواستوں کے انتظام کی نگرانی کا ذمہ دار ہے، بشمول درخواستوں کا جائزہ، درخواستوں کا جواب، اور ڈیٹا کے تحفظ کے ضوابط کی تعمیل کو یقینی بنانا۔
1.3 ذاتی ڈیٹا کے تازہ ترین ریکارڈ کو برقرار رکھنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ اپنے پاس موجود ذاتی ڈیٹا اور ان مقاصد کا تازہ ترین ریکارڈ رکھتا ہے جن کے لیے اس پر کارروائی کی جا رہی ہے۔ یہ یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو ڈیٹا کے موضوع کے حقوق کی درخواستوں کا فوری اور درست جواب دینے کے قابل بنائے گا۔
1.4 ڈیٹا کے مضامین کو واضح اور جامع معلومات فراہم کرنا
ذاتی ڈیٹا اکٹھا کرتے وقت، یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے مضامین کو ان کے حقوق کے بارے میں واضح اور جامع معلومات فراہم کرتا ہے، بشمول ان کے ذاتی ڈیٹا تک رسائی، اسے درست کرنے، مٹانے اور اس پر اعتراض کرنے کا حق۔
1.5 معیاری ردعمل کا وقت قائم کرنا
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کے لیے ایک معیاری رسپانس ٹائم کو برقرار رکھتا ہے اور اس بات کو یقینی بناتا ہے کہ درخواستوں کا جواب اس ٹائم فریم کے اندر دیا جائے۔
1.6۔ ڈیٹا کے موضوع کی شناخت کی تصدیق کرنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کی شناخت کی تصدیق کرتا ہے اور اس بات کو یقینی بنانے کی درخواست کرتا ہے کہ ذاتی ڈیٹا صرف صحیح فرد کو فراہم کیا گیا ہے۔
1.7۔ ڈیٹا کے موضوع کے حقوق کی درخواستوں کا فوری جواب دینا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کا فوری جواب دیتا ہے اور ڈیٹا سبجیکٹ کو ان کی درخواست کردہ معلومات فراہم کرتا ہے۔
1.8۔ ڈیٹا کے موضوع کے حقوق کی درخواستوں کی دستاویز کرنا
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کے حقوق کی درخواستوں کا ریکارڈ رکھتا ہے، بشمول درخواست کی تاریخ، درخواست کی نوعیت، اور درخواست کا جواب۔
1.9 عمل کی نگرانی اور جائزہ
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کے حقوق کی درخواستوں کو سنبھالنے کے لیے اپنے عمل کی باقاعدگی سے نگرانی اور جائزہ لیتا ہے تاکہ یہ یقینی بنایا جا سکے کہ یہ ڈیٹا کے تحفظ کے متعلقہ ضوابط کے ساتھ موثر اور تعمیل کرتا ہے۔
1.10 پروسیسنگ سرگرمیوں کا ریکارڈ قائم کرنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ پروسیسنگ سرگرمیوں کے ریکارڈ کو برقرار رکھتا ہے جو ایک دستاویز ہے جو تنظیم کے ذریعہ کیے گئے ذاتی ڈیٹا کی پروسیسنگ کا خاکہ پیش کرتا ہے۔ یہ EU جنرل ڈیٹا پروٹیکشن ریگولیشن (GDPR) کے تحت درکار ہے اور اس کا مقصد ڈیٹا پروسیسنگ کی سرگرمیوں کو سمجھنے اور GDPR کے ساتھ تعمیل کا مظاہرہ کرنا ہے۔
ان رسمی اور طریقہ کار پر عمل کرتے ہوئے، یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کے حقوق کی درخواستوں کا مؤثر طریقے سے انتظام کر سکتا ہے اور ڈیٹا کے تحفظ کے ضوابط بشمول یورپی یونین میں جنرل ڈیٹا پروٹیکشن ریگولیشن کی تعمیل کو یقینی بنا سکتا ہے۔
حصہ 2۔ ڈیٹا کے موضوع کے حقوق کی درخواستوں سے نمٹنے کے لیے ایک عمل کا قیام
یہ عمل ان اقدامات کا خاکہ پیش کرتا ہے جو یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کو سنبھالتے وقت اپناتا ہے، بشمول ڈیٹا موضوع کی شناخت اور توثیق، ڈیٹا موضوع کی درخواست کی تصدیق، اور درخواست کا جواب:
2.1 ڈیٹا کے موضوع کی شناخت اور تصدیق کرنا
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ درخواست کرنے والے ڈیٹا سبجیکٹ کی شناخت کی تصدیق کے لیے ایک عمل کو برقرار رکھتا ہے۔ اس میں حکومت کی طرف سے جاری کردہ ID مانگنا، موجودہ ریکارڈ کے خلاف جانچ پڑتال، یا تصدیق کے دیگر طریقوں کا استعمال شامل ہو سکتا ہے۔
2.2 ڈیٹا موضوع کی درخواست کی تصدیق کرنا
ڈیٹا کے موضوع کی شناخت قائم ہوجانے کے بعد، یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو تصدیق کرنی چاہیے کہ درخواست درست ہے اور ڈیٹا کے موضوع کے ذاتی ڈیٹا سے متعلق ہے۔ درخواست میں وہ مخصوص حق بھی شامل ہونا چاہیے جو استعمال کیا جا رہا ہے، جیسے کہ ذاتی ڈیٹا تک رسائی، اصلاح یا حذف کرنے کا حق۔
2.3 درخواست کا جواب دینا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو متعلقہ ڈیٹا پروٹیکشن قوانین کے ذریعہ بیان کردہ ٹائم فریم کے اندر ڈیٹا سبجیکٹ کی درخواست کا جواب فراہم کرنا ہوگا، لیکن 30 دن سے زیادہ نہیں۔ جواب میں اس بات کی وضاحت شامل ہونی چاہیے کہ آیا درخواست منظور کی گئی ہے یا مسترد کی گئی ہے، اور فیصلے کی وجوہات۔
2.4 درخواست اور جواب کی دستاویز کرنا
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ تمام ڈیٹا سبجیکٹ کے حقوق کی درخواستوں اور جوابات کا ریکارڈ رکھتا ہے۔ یہ ڈیٹا کے تحفظ کے متعلقہ قوانین کی تعمیل کو یقینی بنانے کے ساتھ ساتھ مستقبل کے آڈٹ یا تحقیقات کو آسان بنانے میں مدد کرتا ہے۔
2.5 متعلقہ عملے کو تربیت دینا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کے حقوق کی درخواستوں کو سنبھالنے کے ذمہ دار عملے کو تربیت فراہم کرے گا تاکہ اس بات کو یقینی بنایا جا سکے کہ وہ ڈیٹا کے تحفظ کے متعلقہ قوانین اور اس طرح کی درخواستوں سے نمٹنے کے لیے یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کے طریقہ کار سے واقف ہیں۔
2.6 عمل کی نگرانی اور جائزہ
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کے حقوق کی درخواستوں کو سنبھالنے کے عمل کی مستقل بنیادوں پر نگرانی اور جائزہ لیتا ہے تاکہ یہ یقینی بنایا جا سکے کہ یہ ڈیٹا کے تحفظ کے متعلقہ قوانین کے ساتھ موثر اور تعمیل کرتا ہے۔ کسی بھی مسئلے یا واقعات کی اطلاع اور بروقت طریقے سے حل کیا جاتا ہے۔
حصہ 3۔ ڈیٹا پروٹیکشن آفیسر (DPO) کو نامزد کرنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ایک ڈی پی او کو نامزد کرتا ہے جو ڈیٹا کے موضوع کے حقوق کی درخواستوں کے انتظام کی نگرانی کا ذمہ دار ہے، بشمول درخواستوں کا جائزہ، درخواستوں کا جواب، اور ڈیٹا کے تحفظ کے ضوابط کی تعمیل کو یقینی بنانا۔
3.1 ڈی پی او کو نامزد کرنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ایک ڈیٹا پروٹیکشن آفیسر (DPO) کو نامزد کرتا ہے تاکہ ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کے انتظام کی نگرانی کرے اور ڈیٹا کے تحفظ کے ضوابط کی تعمیل کو یقینی بنائے۔ ڈی پی او درخواستوں کا جائزہ لینے اور اس بات کو یقینی بنانے کے لیے ذمہ دار ہو گا کہ یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے تحفظ کے سلسلے میں اپنی قانونی ذمہ داریوں کو پورا کر رہا ہے۔
3.2 ڈی پی او کی اہلیت کے تقاضے
ڈی پی او کو ڈیٹا پروٹیکشن قوانین اور طریقوں کا ماہرانہ علم ہونا چاہیے اور اسے اپنی ذمہ داریوں کو پورا کرنے کے لیے ضروری وسائل فراہم کیے جائیں۔ انہیں سینئر مینجمنٹ تک براہ راست رسائی حاصل ہونی چاہئے اور تنظیم کے اعلی ترین انتظامی سطح کو رپورٹ کرنا چاہئے۔
3.3 ڈی پی او کی ذمہ داریاں
ڈی پی او کی ذمہ داریوں میں درج ذیل شامل ہیں، لیکن ان تک محدود نہیں ہیں:
- ڈیٹا کے تحفظ کے معاملات پر یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ کو رہنمائی اور مشورہ فراہم کرنا، بشمول ڈیٹا کے موضوع کے حقوق کی درخواستوں کا انتظام۔
- یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کی ڈیٹا پروٹیکشن کے ضوابط اور داخلی پالیسیوں اور طریقہ کار کی تعمیل کی نگرانی کرنا۔
- ڈیٹا پروٹیکشن ریگولیشنز کے تحت ان کے حقوق سے متعلق ڈیٹا کے مضامین سے پوچھ گچھ اور شکایات کا جواب دینا۔
- اس بات کو یقینی بنانے کے لیے دوسرے محکموں کے ساتھ ہم آہنگی پیدا کرنا کہ ڈیٹا کے تحفظ کی ضروریات پوری تنظیم میں پوری ہوں۔
- یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کے ڈیٹا پروٹیکشن کے طریقوں کے وقتاً فوقتاً جائزے اور تشخیصات کا انعقاد اور بہتری کے لیے سفارشات فراہم کرنا۔
- ڈیٹا پروٹیکشن اتھارٹیز کے لیے رابطے کے نقطہ کے طور پر کام کرنا اور تفتیش یا آڈٹ کی صورت میں ان کے ساتھ تعاون کرنا۔
- ڈی پی او ڈیٹا کے تحفظ سے متعلق یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کی پالیسیوں اور طریقہ کار کی ترقی اور نفاذ میں بھی شامل ہے، بشمول ڈیٹا کے موضوع کے حقوق کی درخواستوں کو سنبھالنے سے متعلق۔
3.4 ڈی پی او کی تربیت اور قابلیت کی ترقی
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو اس بات کو یقینی بنانا چاہئے کہ ڈی پی او کو ڈیٹا کے تحفظ کے ضوابط کے بارے میں مناسب تربیت دی گئی ہے اور وہ ان ضوابط میں کسی بھی تبدیلی یا اپ ڈیٹ کے بارے میں تازہ ترین ہے۔
3.5 ڈی پی او کی رابطہ معلومات
ڈی پی او کی رابطہ معلومات کو ڈیٹا کے مضامین کے لیے دستیاب کرایا جانا چاہیے اور اسے یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کے پرائیویسی نوٹس یا پالیسی میں شامل کیا جانا چاہیے۔
حصہ 4۔ ذاتی ڈیٹا کے تازہ ترین ریکارڈ کو برقرار رکھنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ اپنے پاس موجود ذاتی ڈیٹا اور ان مقاصد کا تازہ ترین ریکارڈ رکھتا ہے جن کے لیے اس پر کارروائی کی جا رہی ہے۔ یہ یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو ڈیٹا کے موضوع کے حقوق کی درخواستوں کا فوری اور درست جواب دینے کے قابل بنائے گا۔
4.1 ذاتی ڈیٹا کی شناخت اور ریکارڈنگ کے لیے ایک عمل قائم کرنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ذاتی ڈیٹا کی شناخت اور ریکارڈنگ کے لیے ایک واضح اور معیاری عمل قائم کرتا ہے، بشمول ڈیٹا کے موضوع کا نام، رابطے کی معلومات، اور کوئی دوسری متعلقہ معلومات۔ یہ عمل یقینی بناتا ہے کہ ذاتی ڈیٹا صرف مخصوص اور جائز مقاصد کے لیے جمع کیا جاتا ہے۔
4.2 ذاتی ڈیٹا کی درجہ بندی کرنا
یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ ذاتی ڈیٹا کی درجہ بندی کرتا ہے تاکہ اسے ٹریک کرنا اور اس کا نظم کرنا آسان ہو۔ اس میں قسم کے لحاظ سے ڈیٹا کی درجہ بندی کرنا شامل ہے، جیسے رابطے کی معلومات، بلنگ کی معلومات، قابلیت اور اہلیت، مالی معلومات، یا روزگار کی تاریخ۔
4.3 ڈیٹا مینجمنٹ سسٹم کا نفاذ
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ اس بات کو یقینی بنانے میں مدد کے لیے ڈیٹا مینجمنٹ سسٹم کا نفاذ کرتا ہے کہ ذاتی ڈیٹا درست، تازہ ترین اور قابل رسائی ہے۔ ڈیٹا مینجمنٹ سسٹم میں ایک ڈیٹا بیس شامل ہوتا ہے جسے ڈیٹا کے موضوع کے حقوق کی درخواستوں کا جواب دینے میں مدد کے لیے تلاش اور استفسار کیا جا سکتا ہے۔
4.4 ذاتی ڈیٹا کے ریکارڈ کو برقرار رکھنے کی ذمہ داری تفویض کرنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو مخصوص افراد یا محکموں کو ذاتی ڈیٹا کے ریکارڈ کو برقرار رکھنے کی ذمہ داری تفویض کرنی چاہئے۔ یہ یقینی بنائے گا کہ ریکارڈ کو تازہ ترین اور درست رکھا گیا ہے۔
4.5 ذاتی ڈیٹا کے ریکارڈ کا باقاعدگی سے جائزہ لینا اور اپ ڈیٹ کرنا
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو ذاتی ڈیٹا کے ریکارڈ کا باقاعدگی سے جائزہ لینا چاہیے اور اسے اپ ڈیٹ کرنا چاہیے تاکہ یہ یقینی بنایا جا سکے کہ یہ درست اور اپ ٹو ڈیٹ رہے۔ یہ متواتر آڈٹ یا مسلسل نگرانی کے عمل کے ذریعے کیا جا سکتا ہے۔
4.6 مناسب حفاظتی اقدامات کو نافذ کریں۔
یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ اپنے پاس موجود ذاتی ڈیٹا کی حفاظت کے لیے مناسب حفاظتی اقدامات نافذ کرتا ہے، بشمول تنظیم کی انفارمیشن سیکیورٹی پالیسی (ISP) کے ایک حصے کے طور پر، غیر مجاز رسائی، حادثاتی نقصان، یا ذاتی ڈیٹا کی تباہی کو روکنے کے اقدامات۔ اس میں ia انکرپشن، فائر والز، اور رسائی کنٹرولز شامل ہیں۔ ڈیٹا کے تحفظ کے لیے طریقہ کار اور اقدامات کی تفصیلی تفصیلات یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کی انفارمیشن سیکیورٹی پالیسی کے تحت آتی ہیں۔
حصہ 5۔ ڈیٹا کے مضامین کو واضح اور جامع معلومات فراہم کرنا
ذاتی ڈیٹا اکٹھا کرتے وقت، یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے مضامین کو ان کے حقوق کے بارے میں واضح اور جامع معلومات فراہم کرتا ہے، بشمول ان کے ذاتی ڈیٹا تک رسائی، اسے درست کرنے، مٹانے اور اس پر اعتراض کرنے کا حق۔
5.1. شفافیت
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ اپنے ذاتی ڈیٹا کی پروسیسنگ میں شفاف ہے اور ڈیٹا کے مضامین کو اس بارے میں جامع معلومات فراہم کرتا ہے کہ ان کے ڈیٹا کو کس طرح استعمال کیا جاتا ہے، پروسیس کیا جاتا ہے اور اسے کیسے محفوظ کیا جاتا ہے۔
5.2. پرائیویسی پالیسی
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کے پاس ایک تفصیلی رازداری کی پالیسی ہے جو اس کی ڈیٹا پروسیسنگ کی سرگرمیوں کا خاکہ پیش کرتی ہے، بشمول ڈیٹا کے مضامین اپنے ڈیٹا کے موضوع کے حقوق کا استعمال کیسے کرسکتے ہیں۔
5.3. رسائی کا حق
ڈیٹا کے مضامین کو ذاتی ڈیٹا تک رسائی کی درخواست کرنے کا حق ہے جو یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ ان کے بارے میں رکھتا ہے۔ یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے مضامین کو واضح اور جامع معلومات فراہم کرتا ہے کہ رسائی کے لیے درخواست کیسے کی جائے، ان کی شناخت کی تصدیق کے لیے کون سی معلومات درکار ہوں گی، اور یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو درخواست کا جواب دینے میں کتنا وقت لگے گا۔
5.4 درست کرنے کا حق
ڈیٹا کے مضامین کو یہ درخواست کرنے کا حق حاصل ہے کہ یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کسی بھی غلط یا نامکمل ذاتی ڈیٹا کو درست کرے جو اس کے پاس موجود ہے۔ یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ اعداد و شمار کے مضامین کو واضح اور جامع معلومات فراہم کرتا ہے کہ کس طرح اصلاح کی درخواست کی جائے، ان کی شناخت کی تصدیق کے لیے کون سی معلومات درکار ہوں گی، اور یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو درخواست کا جواب دینے میں کتنا وقت لگے گا۔
5.5 مٹانے کا حق
ڈیٹا کے مضامین کو یہ درخواست کرنے کا حق حاصل ہے کہ یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ مخصوص حالات میں ان کے ذاتی ڈیٹا کو مٹا دے۔ یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے مضامین کو واضح اور جامع معلومات فراہم کرتا ہے کہ مٹانے کی درخواست کیسے کی جائے، ان کی شناخت کی توثیق کرنے کے لیے کونسی معلومات درکار ہوں گی، اور یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ کو درخواست کا جواب دینے میں کتنا وقت لگے گا۔
5.6. اعتراض کا حق
ڈیٹا کے مضامین کو مخصوص حالات میں اپنے ذاتی ڈیٹا کی پروسیسنگ پر اعتراض کرنے کا حق ہے۔ یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے مضامین کو واضح اور جامع معلومات فراہم کرتا ہے کہ اعتراض کرنے کی درخواست کیسے کی جائے، ان کی شناخت کی تصدیق کے لیے کونسی معلومات درکار ہوں گی، اور یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو درخواست کا جواب دینے میں کتنا وقت لگے گا۔
5.7. رابطے کی معلومات
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے مضامین کے استعمال کے لیے واضح اور جامع رابطے کی معلومات فراہم کرتا ہے اگر ان کے ذاتی ڈیٹا پر کارروائی کے بارے میں سوالات یا خدشات ہیں۔
حصہ 6۔ ایک معیاری رسپانس ٹائم قائم کرنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ نے ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کے لیے ایک معیاری رسپانس ٹائم قائم کیا اور اس بات کو یقینی بنایا کہ درخواستوں کا اس ٹائم فریم کے اندر جواب دیا جائے۔
6.1۔ معیاری ردعمل کا وقت
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کے لیے 30 دن کا معیاری رسپانس ٹائم قائم کرتا ہے۔ معیاری رسپانس ٹائم پروسیسنگ اور رسپانس کے لیے ایک بالائی وقت کی حد متعین کرتا ہے اور زیادہ تر درخواستوں پر کارروائی کی جاتی ہے اور کم وقت میں جواب دیا جاتا ہے۔
6.2 رسید کی تصدیق کے وقت کی درخواست کریں۔
ڈیٹا سبجیکٹ کے حقوق کی درخواست کی وصولی پر، ڈی پی او یا عملے کے دیگر ارکان 5 کام کے دنوں کے اندر درخواست کی وصولی کو تسلیم کریں گے اور ڈیٹا کے موضوع کو جواب فراہم کرنے کے لیے ایک تخمینہ ٹائم فریم فراہم کریں گے۔
6.3 معیاری رسپانس ٹائم کی غیر معمولی توسیع
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ مقررہ معیاری رسپانس ٹائم کے اندر ڈیٹا کے موضوع کے حقوق کی درخواستوں کا جواب دینے کے لئے معقول کوششوں کا استعمال کرے گا۔ تاہم، اگر درخواست پیچیدہ ہے یا اگر یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو بہت زیادہ درخواستیں موصول ہوتی ہیں، تو جواب کا وقت بڑھایا جا سکتا ہے۔ ایسی صورتوں میں، ڈی پی او توسیع کے ڈیٹا سبجیکٹ اور تاخیر کی وجہ سے آگاہ کرے گا۔
6.4 ڈیٹا کے موضوع کے حقوق کی درخواست کو پورا کرنے سے انکار
اگر یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا سبجیکٹ کے حقوق کی درخواست کو پورا کرنے سے قاصر ہے، تو یہ ڈیٹا سبجیکٹ کو انکار کی وضاحت فراہم کرے گا اور انہیں متعلقہ نگران اتھارٹی کو شکایت کرنے کے اپنے حق سے آگاہ کرے گا۔
6.5 ڈیٹا سبجیکٹ کے حقوق کی درخواستوں اور جوابات کا ریکارڈ
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کے حقوق کی درخواستوں اور جوابات کے درست ریکارڈ کو برقرار رکھے گا، بشمول درخواست کی وصولی کی تاریخ، درخواست کی نوعیت، اور جواب کی تاریخ اور طریقہ۔
6.6۔ متواتر جائزے
ڈی پی او وقتاً فوقتاً یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کے جوابی اوقات کا جائزہ لے گا اور ڈیٹا کے تحفظ کے قابل اطلاق ضوابط کی تعمیل کو یقینی بنانے کے لیے ضروری طور پر ان کو اپ ڈیٹ کرے گا۔
حصہ 7۔ ڈیٹا کے موضوع کی شناخت کی تصدیق کرنا
7.1 شناخت کی تصدیق کی ضرورت
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو ڈیٹا کے موضوع کی شناخت کی توثیق کرنی چاہیے اور اس بات کو یقینی بنانے کے لیے درخواست کی گئی ہے کہ ذاتی ڈیٹا صرف صحیح فرد کو فراہم کیا گیا ہے۔
7.2 شناخت کی تصدیق کے ذرائع اور طریقے
جب کوئی ڈیٹا سبجیکٹ ڈیٹا پروٹیکشن قوانین کے تحت اپنے حقوق استعمال کرنے کی درخواست کرتا ہے، تو یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو مناسب اقدامات کا استعمال کرتے ہوئے ڈیٹا سبجیکٹ کی شناخت کی تصدیق کرنی چاہیے، جیسے کہ شناختی دستاویزات کی درخواست کرنا۔
7.3 پراکسی ہولڈر کی شناخت کی تصدیق
اگر ڈیٹا کا موضوع کسی اور کی جانب سے درخواست کر رہا ہے، تو یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو ڈیٹا سبجیکٹ اور اس فرد دونوں کی شناخت کی تصدیق کرنی چاہیے جس کی جانب سے درخواست کی جا رہی ہے۔
7.4 شناخت کی تصدیق کے شبہات
اگر یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو ڈیٹا سبجیکٹ کی شناخت یا درخواست کی درستگی کے بارے میں شبہات ہیں، تو وہ اضافی معلومات کی درخواست کر سکتا ہے یا ڈیٹا کے موضوع کی شناخت کی تصدیق کے لیے دیگر مناسب اقدامات کر سکتا ہے۔
7.5 شناخت کی تصدیق کے ریکارڈ
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو توثیق کے عمل کا ریکارڈ رکھنا چاہئے اور ڈیٹا کے مضمون کی شناخت کی تصدیق کے لئے اٹھائے گئے اقدامات کا ریکارڈ رکھنا چاہئے۔ اس ریکارڈ کو مناسب مدت کے لیے رکھا جانا چاہیے اور ڈیٹا کے تحفظ کے قوانین کی تعمیل کو ظاہر کرنے کے لیے استعمال کیا جانا چاہیے۔
حصہ 8۔ ڈیٹا کے موضوع کے حقوق کی درخواستوں کا فوری جواب دینا
8.1 فوری جواب
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کا فوری جواب دیتا ہے اور ڈیٹا سبجیکٹ کو ان کی درخواست کردہ معلومات فراہم کرتا ہے۔
8.2 رسید کی تصدیق کی درخواست کریں۔
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ جتنی جلدی ممکن ہو، مثالی طور پر 5 کام کے دنوں کے اندر ڈیٹا سبجیکٹ کی درخواست کی وصولی کو تسلیم کرتا ہے۔
8.3 جائزہ لینے کی درخواست کریں۔
نامزد ڈی پی او کو درخواست کا جائزہ لینا چاہیے تاکہ یہ یقینی بنایا جا سکے کہ یہ ضروری تقاضوں کو پورا کرتی ہے اور تمام ضروری معلومات فراہم کر دی گئی ہیں۔
8.4 ڈیٹا کے موضوع کی شناخت کی تصدیق
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کی شناخت کی تصدیق کرتا ہے اور اس بات کو یقینی بنانے کی درخواست کرتا ہے کہ ذاتی ڈیٹا صرف صحیح فرد کو فراہم کیا گیا ہے۔
8.5 اگر ضرورت ہو تو اضافی معلومات حاصل کرنا
اگر درخواست غیر واضح یا ناکافی ہے تو، یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ کو اضافی معلومات حاصل کرنے کے لیے ڈیٹا کے تابع رابطہ کرنا چاہیے۔
8.5 متعلقہ ڈیٹا کی بازیافت
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ متعلقہ ذاتی ڈیٹا کو بازیافت کرتا ہے اور اس کا جائزہ لیتا ہے تاکہ یہ یقینی بنایا جا سکے کہ یہ درست اور تازہ ترین ہے۔
8.6۔ مطلوبہ معلومات فراہم کرنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کو اس معلومات کے ساتھ فراہم کرتا ہے جس کی انہوں نے درخواست کی ہے، بشمول ان کے ذاتی ڈیٹا کی کاپی عام طور پر استعمال ہونے والے الیکٹرانک فارمیٹ میں، جب تک کہ دوسری صورت میں درخواست نہ کی جائے۔
8.7 ڈیٹا کے موضوع کو ان کے حقوق سے آگاہ کریں۔
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کو ان کے دیگر حقوق سے آگاہ کرتا ہے، جیسے کہ ان کے ذاتی ڈیٹا کو درست کرنے یا مٹانے کا حق، اور انہیں ضروری ہدایات فراہم کرتا ہے۔
8.8۔ جوابی وقت کی تعمیل کرنا
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کے حقوق کی درخواستوں کا جواب مقررہ وقت کے اندر دیتا ہے، اس بات کو یقینی بناتے ہوئے کہ درخواست کی تعمیل کے لیے ضروری کارروائی کی جائے۔
8.9۔ جواب کی دستاویز کرنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا سبجیکٹ کے حقوق کی درخواست کے جواب کو دستاویز کرتا ہے، بشمول کوئی بھی کارروائی اور جوابی وقت، اس بات کو یقینی بنانے کے لیے کہ تعمیل کے مقاصد کے لیے اس کا آڈٹ اور ٹریک کیا جا سکے۔
8.10۔ کسی بھی تبدیلی کے ڈیٹا کے موضوع کو مطلع کرنا
اگر ڈیٹا سبجیکٹ کے ذاتی ڈیٹا میں ان کی درخواست کے نتیجے میں کوئی تبدیلی کی جاتی ہے تو، یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ان تبدیلیوں کے ڈیٹا سبجیکٹ کو مطلع کرتا ہے۔
حصہ 9۔ ڈیٹا کے موضوع کے حقوق کی درخواستوں کی دستاویز کرنا
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کے حقوق کی درخواستوں کا ریکارڈ رکھتا ہے، بشمول درخواست کی تاریخ، درخواست کی نوعیت، اور درخواست کا جواب۔ ڈیٹا کے موضوع کے حقوق کی درخواستوں کو دستاویز کرنے میں درج ذیل پہلو شامل ہیں:
9.1 رجسٹر کو برقرار رکھنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ایک رجسٹر کو برقرار رکھتا ہے جو موصول ہونے والی تمام ڈیٹا موضوع حقوق کی درخواستوں کو حاصل کرتا ہے۔ اس رجسٹر میں درج ذیل تفصیلات کو حاصل کرنا چاہیے:
- درخواست کی تاریخ
- ڈیٹا کے موضوع کا نام اور رابطے کی تفصیلات
- درخواست کی تفصیل
- درخواست کے جواب میں کارروائی کی گئی۔
- درخواست پر کارروائی کرنے کے لیے درکار کوئی اضافی معلومات
9.2 دستاویزات کے لیے معیاری عمل
یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کے حقوق کی درخواستوں کو دستاویز کرنے کے لیے ایک معیاری عمل چلاتا ہے تاکہ حاصل کی گئی معلومات میں مستقل مزاجی اور درستگی کو یقینی بنایا جا سکے۔
9.3 برقرار رکھنے کی مدت
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ان ریکارڈز کو مناسب مدت کے لئے برقرار رکھتا ہے، جیسا کہ قابل اطلاق قوانین اور ضوابط کے ذریعہ طے کیا جاتا ہے، 2 سال سے کم نہیں۔
9.4 رازداری کو برقرار رکھنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ اس بات کو یقینی بناتا ہے کہ ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کا ریکارڈ صرف ان مجاز اہلکاروں کے لئے قابل رسائی ہے جنہیں اپنے فرائض کی انجام دہی میں اس طرح کی معلومات تک رسائی کی ضرورت ہے۔ یہ ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کے ریکارڈ میں موجود ذاتی ڈیٹا کی غیر مجاز رسائی، انکشاف، تبدیلی یا تباہی کو روکنے کے لیے تکنیکی اور تنظیمی اقدامات کو بھی نافذ کرتا ہے۔
9.5. رپورٹنگ
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ وقتاً فوقتاً ڈیٹا کے موضوع کے حقوق کی درخواستوں پر موصول ہونے والی، کارروائی شدہ اور بقایا جات کی رپورٹس تیار کرتا ہے۔ یہ رپورٹس متعلقہ اسٹیک ہولڈرز بشمول سینئر مینجمنٹ اور ڈی پی او کے ساتھ شیئر کی جاتی ہیں۔
9.6 تجزیات۔
یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کے حقوق کی درخواستوں پر رجحانات کا تجزیہ کرتا ہے تاکہ درخواستوں کے نمونوں اور بنیادی وجوہات کی نشاندہی کی جا سکے۔ اس معلومات کا استعمال اس طرح کی درخواستوں کو بہتر طریقے سے منظم کرنے کے عمل اور طریقہ کار کو بڑھانے کے لیے کیا جاتا ہے۔
حصہ 10۔ عمل کی نگرانی اور جائزہ
یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا کے موضوع کے حقوق کی درخواستوں کو سنبھالنے کے لیے اپنے عمل کی باقاعدگی سے نگرانی اور جائزہ لیتا ہے تاکہ یہ یقینی بنایا جا سکے کہ یہ GDPR کے ساتھ موثر اور تعمیل کرتا ہے۔
10.1 متواتر جائزے کا انعقاد
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ اپنے ڈیٹا سبجیکٹ کے حقوق کی درخواست سے نمٹنے کے عمل اور GDPR تعمیل کی پالیسی کے وقتاً فوقتاً جائزے کرتا ہے تاکہ یہ یقینی بنایا جا سکے کہ یہ ڈیٹا کے تحفظ کے ضوابط کے ساتھ موثر اور تعمیل کرتا ہے۔ ان جائزوں میں موصول ہونے والی درخواستوں کی تعداد اور قسم کا تجزیہ، جوابات کی بروقت اور تاثیر، اور بہتری کے لیے کوئی بھی شعبہ شامل ہے۔
10.2 بہتریوں کا نفاذ
جائزوں کے نتائج کی بنیاد پر، یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ اپنے ڈیٹا سبجیکٹ کے حقوق کی درخواست سے نمٹنے کے عمل میں کسی بھی ضروری بہتری کو لاگو کرتا ہے۔ اس میں طریقہ کار کی اپ ڈیٹس، عملے کے لیے اضافی تربیت، یا درخواستوں کی تصدیق اور جواب دینے کے طریقے میں تبدیلیاں شامل ہو سکتی ہیں۔
10.3 مسلسل تعمیل کو یقینی بنانا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ متعلقہ قوانین اور ضوابط میں کسی بھی تبدیلی کے مطابق اپنی پالیسیوں اور طریقہ کار کا باقاعدگی سے جائزہ لے کر اور اپ ڈیٹ کر کے ڈیٹا کے تحفظ کے ضوابط کی مسلسل تعمیل کو یقینی بناتا ہے۔
10.4 عملے کی کارکردگی کی نگرانی
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ ڈیٹا سبجیکٹ کے حقوق کی درخواستوں کو سنبھالنے کے سلسلے میں عملے کی کارکردگی پر نظر رکھتا ہے، بشمول جوابات کا معیار اور بروقت۔ اس میں وقتاً فوقتاً تربیت اور کارکردگی کے جائزے شامل ہو سکتے ہیں تاکہ یہ یقینی بنایا جا سکے کہ عملہ اس شعبے میں باشعور اور قابل ہے۔
10.5 ڈیٹا مضامین کے ساتھ بات چیت کرنا
یورپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ درخواست کو سنبھالنے کے پورے عمل کے دوران ڈیٹا مضامین کے ساتھ بات چیت کرتا ہے تاکہ یہ یقینی بنایا جا سکے کہ انہیں پیش رفت اور کسی بھی متعلقہ معلومات سے آگاہ رکھا جائے۔ اس میں ان کی درخواست کی حیثیت کے بارے میں اپ ڈیٹ فراہم کرنا یا ضرورت کے مطابق اضافی معلومات کی درخواست کرنا شامل ہو سکتا ہے۔
10.6 ریکارڈ کو برقرار رکھنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ اپنے جائزوں کے ریکارڈ کو برقرار رکھتا ہے، بشمول اس کے ڈیٹا سبجیکٹ کے حقوق کی درخواست کو سنبھالنے کے عمل میں کی گئی کوئی بھی تبدیلی، نیز ڈیٹا کے مضامین سے موصول ہونے والی کوئی بھی رائے۔ اس معلومات کا استعمال تعمیل کی جاری کوششوں کی حمایت اور مزید بہتری کے لیے شعبوں کی نشاندہی کے لیے کیا جا سکتا ہے۔
حصہ 11۔ پروسیسنگ سرگرمیوں کا ریکارڈ قائم کرنا
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ پروسیسنگ سرگرمیوں کے ریکارڈ کو برقرار رکھتا ہے جو ایک دستاویز ہے جو تنظیم کے ذریعہ کیے گئے ذاتی ڈیٹا کی پروسیسنگ کا خاکہ پیش کرتا ہے۔ یہ EU جنرل ڈیٹا پروٹیکشن ریگولیشن (GDPR) کے تحت درکار ہے اور اس کا مقصد ڈیٹا پروسیسنگ کی سرگرمیوں کو سمجھنے اور GDPR کے ساتھ تعمیل کا مظاہرہ کرنا ہے۔
11.1 ROPA ڈھانچہ
آر او پی اے میں تنظیم کے نام اور رابطے کی تفصیلات، ڈیٹا پروسیسنگ کے مقاصد، پروسیس کیے گئے ذاتی ڈیٹا کے زمرے، ذاتی ڈیٹا کے وصول کنندگان، اور ذاتی ڈیٹا کو برقرار رکھنے کی مدت کے بارے میں بنیادی معلومات شامل ہیں۔ اس میں کسی بھی فریق ثالث کے پروسیسرز کے بارے میں معلومات بھی شامل ہیں جو تنظیم کی جانب سے ذاتی ڈیٹا پر کارروائی کرتے ہیں۔
11.2 ROPA باقاعدہ اپ ڈیٹس
ROPA کو باقاعدگی سے اپ ڈیٹ کیا جاتا ہے اور یہ ایک زندہ دستاویز ہے جو کہ یورپی IT سرٹیفیکیشن انسٹی ٹیوٹ کی ڈیٹا پروسیسنگ سرگرمیوں میں تبدیلیوں کی عکاسی کرتی ہے جو ڈیٹا کے مضامین کے ساتھ اعتماد پیدا کرنے میں معاون ہے۔
یوروپی آئی ٹی سرٹیفیکیشن انسٹی ٹیوٹ اپنے ڈیٹا سبجیکٹ رائٹس ریکوسٹس مینجمنٹ اور جنرل ڈیٹا پروٹیکشن ریگولیشن پالیسی کے سلسلے میں اعلیٰ ترین معیارات کو برقرار رکھنے کے لیے پرعزم ہے، اس بات کو یقینی بناتے ہوئے کہ ان مسائل سے متعلق تمام قابل اطلاق قوانین اور ضوابط کے ساتھ ساتھ معروف صنعتی معیارات کی تعمیل کی جائے۔ اور بہترین طریقہ کار، بشمول ISO 27701 پرائیویسی انفارمیشن مینجمنٹ سسٹم۔