برازیل LGPD تعمیل: لاطینی امریکی آپریشنز کے لیے ڈیٹا پروٹیکشن

برازیل کا Lei Geral de Proteção de Dados Pessoais (LGPD — قانون نمبر 13,709/2018) 18 ستمبر 2020 کو نافذ ہوا، Autoridade Nacional de Proteção de Dados (ANPD) کے نفاذ کے ساتھ اگست 2021 میں دنیا کی آبادی کے لحاظ سے سب سے بڑا ملک ہے چھٹی سب سے بڑی معیشت، برازیل کے آپریشنز، صارفین، یا ملازمین والی کسی بھی تنظیم کے لیے LGPD کی تعمیل کو ضروری بناتی ہے۔

EU کے GDPR پر قریب سے ماڈل بنایا گیا، LGPD پروسیسنگ، ڈیٹا سبجیکٹ کے حقوق، DPO کی ضرورت، سرحد پار منتقلی کی پابندیاں، اور R$50 ملین ($10 ملین USD) فی خلاف ورزی پر سالانہ برازیلی ریونیو کے 2% تک کے جرمانے متعارف کراتا ہے۔ ANPD نے اپنا پہلا اہم جرمانہ جاری کیا ہے اور شعبے کے لیے مخصوص رہنمائی شائع کی ہے - نفاذ اب نظریاتی نہیں ہے۔

اہم ٹیک ویز

• LGPD برازیل میں افراد کے ذاتی ڈیٹا پر کارروائی کرنے والی کسی بھی تنظیم پر لاگو ہوتا ہے، قطع نظر اس کے کہ تنظیم کہاں کی ہے۔
• پروسیسنگ کے لیے دس قانونی بنیادیں موجود ہیں - کوئی بھی ڈیفالٹ نہیں ہے۔ آپ کو ہر ایک سرگرمی کی بنیاد کو دستاویز کرنا ہوگا۔
• LGPD کے تحت رضامندی مفت، باخبر، غیر مبہم، اور کسی خاص مقصد کے لیے ہونی چاہیے — پہلے سے ٹک شدہ باکسز اہل نہیں ہوتے
• حساس ذاتی ڈیٹا (نسل، مذہب، صحت، بایومیٹرکس، سیاسی آراء، جنسی رجحان) کے لیے واضح رضامندی یا مخصوص استثناء کی ضرورت ہوتی ہے
• زیادہ تر کنٹرولرز اور پروسیسرز کے لیے ڈی پی او (اینکارگیڈو) کا تقرر لازمی ہے۔
• سرحد پار منتقلی پر پابندی ہے - اجازت شدہ میکانزم میں مناسب فیصلے، معیاری معاہدے کی شقیں، اور سرٹیفیکیشن اسکیمیں شامل ہیں
• ANPD جرمانے برازیل کی آمدنی کے 2% تک پہنچ گئے، فی خلاف ورزی R$50 ملین تک محدود
• LGPD کو قانون 13,853/2019 کے ذریعے اپ ڈیٹ کیا گیا، جس نے ANPD کی آزادی کو مضبوط کیا اور نفاذ کی دفعات کو واضح کیا

---

LGPD دائرہ کار اور علاقائی درخواست

LGPD ذاتی ڈیٹا کی کسی بھی پروسیسنگ پر لاگو ہوتا ہے جو:

1. برازیل کے علاقے میں کیا جاتا ہے
2. برازیل میں واقع افراد کو سامان یا خدمات پیش کرنے کا مقصد ہے۔
3. برازیل میں اکٹھا کیا گیا ذاتی ڈیٹا شامل ہے۔

GDPR کے آرٹیکل 3 کی طرح، اس بیرونی دائرہ کار کا مطلب ہے کہ ایک امریکی کمپنی جو پرتگالی زبان کا ای کامرس اسٹور چلا رہی ہے جو برازیل کے صارفین کو خدمت کرتی ہے، ان صارفین کے ڈیٹا کے لیے LGPD کی تعمیل کرنی چاہیے۔ برازیل کے ملازمین کے ساتھ ملٹی نیشنل کو ملازمین کے ڈیٹا پروسیسنگ کی تعمیل کرنی ہوگی۔

LGPD سے استثنیات میں شامل ہیں:

• پروسیسنگ صرف نجی مقاصد کے لیے کی جاتی ہے، اقتصادی سرگرمی کے لیے نہیں۔
• صحافتی، فنکارانہ، یا علمی مقاصد کے لیے پروسیسنگ
• عوامی تحفظ، قومی دفاع، یا مجرمانہ تفتیش کے لیے کارروائی (مخصوص قانون سازی کے تحت)
• ڈیٹا برازیل سے باہر نکلتا ہے اور برازیل کے ایجنٹوں کے ساتھ مواصلات یا مشترکہ استعمال کا موضوع نہیں ہے۔

تاہم، ان چھوٹوں کی مختصر تشریح کی گئی ہے۔ زیادہ تر تجارتی پروسیسنگ اہل نہیں ہے۔

---

ذاتی ڈیٹا پر کارروائی کے لیے قانونی بنیادیں۔

LGPD کا آرٹیکل 7 ذاتی ڈیٹا پر کارروائی کے لیے دس قانونی بنیادیں قائم کرتا ہے۔ یہ GDPR (جس میں چھ ہے) سے مختلف ہے اور برازیل کے مخصوص قانون سازی کے تناظر کی عکاسی کرتا ہے۔ ہر پروسیسنگ سرگرمی کو ان اڈوں میں سے کسی ایک کے خلاف دستاویزی ہونا ضروری ہے:

LGPD کے تحت جائز مفادات GDPR سے کم ہیں: کنٹرولرز کو ڈیٹا کے موضوع کے بنیادی حقوق اور آزادیوں کے خلاف جائز مفاد میں توازن رکھنا چاہیے۔ اے این پی ڈی کی رہنمائی اس بات کی نشاندہی کرتی ہے کہ اس کے لیے جی ڈی پی آر کی طرح ایک دستاویزی تین حصوں کے ٹیسٹ کی ضرورت ہے، اور صرف تجارتی مقاصد خود بخود اہل نہیں ہوتے ہیں۔

حساس ذاتی ڈیٹا (آرٹیکل 11) میں نسلی یا نسلی اصل، مذہبی عقیدہ، سیاسی رائے، ٹریڈ یونین یا مذہبی تنظیم کی رکنیت، صحت کا ڈیٹا، جنسی زندگی، جینیاتی یا بائیو میٹرک ڈیٹا شامل ہے۔ حساس ڈیٹا پر کارروائی کرنے کے لیے واضح رضامندی یا سات مخصوص قانونی بنیادوں میں سے ایک (قانونی ذمہ داری، تحقیق، طبی نگہداشت وغیرہ) کی ضرورت ہوتی ہے۔ حساس ڈیٹا کے لیے رضامندی کا معیار زیادہ ہے — واضح، دیگر رضامندیوں سے الگ، اور مقصد کے لیے مخصوص۔

---

LGPD کے تحت ڈیٹا سبجیکٹ کے حقوق

ایل جی پی ڈی کا آرٹیکل 18 ڈیٹا مضامین کو نو حقوق دیتا ہے:

جی ڈی پی آر سے اہم فرق:

• LGPD میں رضامندی سے انکار کے نتائج جاننے کا حق شامل ہے - اس کے لیے پہلے سے جمع کرنے کے انکشاف کی ضرورت ہوتی ہے کہ اگر صارف انکار کرتا ہے تو کیا ہوتا ہے۔
• "غیر ضروری تاخیر کے" GDPR کی 30 دن کی ٹائم لائن سے کم نسخہ ہے - ANPD کے ضوابط سے توقع کی جاتی ہے کہ وہ ٹائم لائنز کی وضاحت کریں
• پورٹیبلٹی کے حقوق تکنیکی فزیبلٹی اور اے این پی ڈی کے ضوابط پر مشروط ہیں۔

حقوق استعمال کرنا: ڈیٹا کے مضامین کنٹرولر کو درخواستیں جمع کراتے ہیں۔ ANPD ریزولوشن CD/ANPD نمبر 4/2023 کے تحت کنٹرولر کو 15 دنوں کے اندر جواب دینا ہوگا (تصدیق اور رسائی کی درخواستوں کے لیے)۔ دیگر حقوق کے لیے، کنٹرولرز کو بغیر کسی تاخیر کے جواب دینا چاہیے جیسا کہ ANPD کے ضوابط کی وضاحت ہے۔

---

کنٹرولر اور پروسیسر کی ذمہ داریاں

ڈیٹا کنٹرولر (کنٹرولر): پروسیسنگ کے مقاصد اور ذرائع کا تعین کرتا ہے۔ LGPD کی بنیادی ذمہ داریاں ہیں جن میں قانونی بنیاد پر دستاویزات، رازداری کے نوٹس، ڈیٹا سبجیکٹ کے حقوق کی تکمیل، DPO تقرری، ANPD رپورٹنگ، اور حفاظتی اقدامات شامل ہیں۔

ڈیٹا پروسیسر (آپریٹر): ایک معاہدے کے تحت کنٹرولر کی جانب سے ڈیٹا پر کارروائی کرتا ہے۔ پروسیسرز ان خلاف ورزیوں کے لیے ذمہ داری کا اشتراک کرتے ہیں جہاں وہ کنٹرولر کی ہدایات پر عمل نہیں کرتے یا LGPD کے برعکس کام کرتے ہیں۔ کنٹرولرز کو صرف ایسے پروسیسرز کا استعمال کرنا چاہیے جو LGPD کی تعمیل کی کافی ضمانت فراہم کرتے ہوں۔

پروسیسر کے معاہدے کے تقاضے (آرٹیکل 39): کنٹرولرز اور پروسیسرز کے پاس تحریری معاہدے کا احاطہ ہونا چاہیے:

• ذاتی ڈیٹا پروسیسنگ کی ہدایات
• حفاظتی ذمہ داریاں
• رازداری کے تقاضے
• ڈیٹا سبجیکٹ رائٹس سپورٹ
• معاہدہ ختم ہونے پر ڈیٹا کی واپسی یا حذف کرنے کی ذمہ داریاں

مشترکہ کنٹرولرز: ایل جی پی ڈی واضح طور پر مشترکہ کنٹرولر انتظامات پر توجہ نہیں دیتا ہے (جی ڈی پی آر کے آرٹیکل 26 کے برعکس)، لیکن اے این پی ڈی رہنمائی اس بات کی نشاندہی کرتی ہے کہ مشترکہ پروسیسنگ کے حالات کو ذمہ داریوں کی واضح تقسیم کے ساتھ معاہدہ کے ساتھ حل کیا جانا چاہیے۔

---

ڈیٹا پروٹیکشن آفیسر (Encarregado)

آرٹیکل 41 کے مطابق کنٹرولرز اور پروسیسرز کو ڈیٹا پروٹیکشن آفیسر (Encarregado) مقرر کرنے کی ضرورت ہے۔ جی ڈی پی آر کے برعکس، ایل جی پی ڈی تھریشولڈز فراہم نہیں کرتا ہے - یہ ضرورت کنٹرولرز اور پروسیسرز پر وسیع پیمانے پر لاگو ہوتی ہے۔ ANPD نے اشارہ کیا ہے کہ چھوٹی تنظیموں اور واحد ملکیت کی ذمہ داریاں کم ہو سکتی ہیں، اور ANPD ریزولوشن CD/ANPD نمبر 2/2022 نے چھوٹے ڈیٹا پروسیسرز کے لیے آسان شرائط قائم کی ہیں۔

DPO (Encarregado) کی ذمہ داریاں:

• کنٹرولر، ڈیٹا مضامین، اور ANPD کے درمیان ایک مواصلاتی چینل کے طور پر کام کریں۔
• ڈیٹا کے مضامین کی شکایات وصول کریں اور ڈیٹا کے مضامین کے ساتھ ان کے حقوق کے حوالے سے بات چیت کریں۔
• اے این پی ڈی سے مواصلتیں وصول کریں اور مناسب کارروائی کریں۔
• اندرونی ملازمین کو ڈیٹا کے تحفظ کے طریقوں پر مشورہ دیں۔
• کنٹرولر کے ذریعہ بیان کردہ یا ANPD کے ضوابط میں قائم کردہ دیگر فرائض کو انجام دیں۔

اشاعت کی ضرورت: کنٹرولرز کو عام طور پر پرائیویسی پالیسی میں، Encarregado کی شناخت اور رابطے کی معلومات کو عام طور پر ظاہر کرنا چاہیے۔

اندرونی یا خارجی ہوسکتا ہے: GDPR کے برعکس، LGPD DPO کے کردار کے لیے مفادات کے تصادم کی ممانعت نہیں کرتا، حالانکہ بہترین عمل یہ بتاتا ہے کہ DPO کو کافی آزادی ہونی چاہیے۔ مستند کنسلٹنٹس کی بیرونی DPO خدمات بڑے پیمانے پر استعمال کی جاتی ہیں۔

---

سیکیورٹی کے تقاضے

آرٹیکل 46 کنٹرولرز اور پروسیسرز سے ذاتی ڈیٹا کو غیر مجاز رسائی اور تباہی، نقصان، تبدیلی، مواصلات، یا کسی بھی قسم کے غلط یا غیر قانونی سلوک کے حادثاتی یا غیر قانونی حالات سے بچانے کے لیے حفاظتی، تکنیکی اور انتظامی اقدامات کو اپنانے کا تقاضا کرتا ہے۔

ANPD ریزولوشن CD/ANPD نمبر 4/2023 اور اس سے منسلک رہنمائی کم از کم حفاظتی تقاضوں کی وضاحت کرتی ہے۔ کلیدی تکنیکی اقدامات میں شامل ہیں:

** رسائی کے کنٹرول:**

• ڈیٹا کی حساسیت کے متناسب تصدیقی طریقہ کار
• استحقاق کی حد (کم از کم ضروری رسائی)
• حساس ڈیٹا تک رسائی کے لیے سرگرمی لاگنگ

خفیہ کاری:

• اسٹوریج میں حساس ذاتی ڈیٹا کی خفیہ کاری
• ذاتی ڈیٹا کی ترسیل کے لیے خفیہ کاری
• کلیدی انتظامی طریقہ کار

ڈیٹا لائف سائیکل مینجمنٹ:

• دستاویزی برقرار رکھنے کی مدت
• برقرار رکھنے کی مدت کے اختتام پر محفوظ حذف یا گمنامی

تنظیمی اقدامات:

• ذاتی ڈیٹا کو سنبھالنے والے تمام ملازمین کے لیے LGPD ٹریننگ
• نئے نظاموں میں ڈیزائن کے لحاظ سے رازداری
• باقاعدگی سے سیکیورٹی کے جائزے اور آڈٹ
• واقعے کے ردعمل کے طریقہ کار

---

خلاف ورزی کی اطلاع

آرٹیکل 48 کنٹرولرز سے مطالبہ کرتا ہے کہ وہ ANPD اور متاثرہ ڈیٹا مضامین کو سیکیورٹی کے واقعات کے بارے میں مطلع کریں جس کے نتیجے میں ڈیٹا مضامین کو متعلقہ خطرہ یا نقصان ہو سکتا ہے۔ ایل جی پی ڈی کسی مخصوص نوٹیفکیشن ٹائم لائن کی وضاحت نہیں کرتا ہے - قانون کہتا ہے کہ نوٹیفکیشن "مناسب مدت کے اندر" کی جانی چاہیے۔ واقعہ کی اطلاع پر ANPD ریزولوشن CD/ANPD نمبر 2/2023 5 کاروباری دنوں کے اندر تفصیلی اطلاع کے ساتھ ڈیٹا کے مضامین کی ایک بڑی تعداد کو متاثر کرنے والے یا حساس ڈیٹا کو شامل کرنے والے واقعات کے لیے 2 کاروباری دن کی ابتدائی اطلاع کی ضرورت قائم کرتا ہے۔

ANPD کو اطلاعی مواد:

• متاثرہ ڈیٹا کی نوعیت اور ڈیٹا کے مضامین کی تعداد
• واقعہ کے ممکنہ نتائج
• صورت حال سے نمٹنے کے لیے اقدامات کیے گئے یا منصوبہ بندی کی گئی۔
• ڈی پی او کی شناخت (Encarregado)

ڈیٹا کے مضامین کے لیے اطلاع: جب واقعہ ڈیٹا کے مضامین کو اہم نقصان پہنچا سکتا ہے، تو ANPD متاثرہ افراد کو اطلاع کی ضرورت ہو سکتی ہے، بشمول واقعے کی نوعیت اور اثرات کو کم کرنے کے لیے کیے گئے اقدامات۔

---

سرحد پار ڈیٹا کی منتقلی

LGPD کا آرٹیکل 33 ذاتی ڈیٹا کی بین الاقوامی منتقلی پر پابندی لگاتا ہے۔ اجازت شدہ میکانزم میں شامل ہیں:

قابلیت کے فیصلوں کی موجودہ حیثیت: 2026 کے اوائل تک، ANPD نے ابھی تک مخصوص ممالک (بشمول EU) کے لیے مناسب فیصلے جاری نہیں کیے ہیں، حالانکہ اس پر تبادلہ خیال کیا جا رہا ہے۔ عملی طور پر، زیادہ تر تنظیمیں ANPD کی معیاری معاہدے کی شقوں کا انتظار کرتے ہوئے رضامندی یا مخصوص معاہدے کی شقوں کا استعمال کرتی ہیں۔

EU منتقلی: LGPD کی GDPR مماثلت کے باوجود، باہمی مناسبیت کی کوئی شناخت نہیں ہے۔ EU→برازیل کی منتقلی کے لیے GDPR کے موافق میکانزم کی ضرورت ہوتی ہے۔ Brazil→EU کی منتقلی کے لیے LGPD کے موافق میکانزم کی ضرورت ہوتی ہے۔ کثیر القومی ڈیٹا کے بہاؤ کے لیے دونوں فریم ورک کو مطمئن کرنے کی ضرورت ہوتی ہے۔

---

ANPD نفاذ اور سزائیں

ANPD (Autoridade Nacional de Proteção de Dados) قانون سازی کی ترامیم کے بعد 2023 میں وفاقی حکومت سے عملی طور پر آزاد ہو گیا۔ نفاذ کے اختیارات میں شامل ہیں:

انتظامی پابندیاں (آرٹیکل 52):

• اصلاحی کارروائی اور وقت کی مدت کے اشارے کے ساتھ انتباہ
• سادہ جرمانہ: برازیل میں اس کے گزشتہ مالی سال میں کمپنی کی آمدنی کا 2% تک، فی خلاف ورزی پر R$50 ملین ($10 ملین USD) تک محدود
• جاری خلاف ورزیوں پر روزانہ جرمانہ (مجموعی طور پر R$50 ملین تک)
• خلاف ورزی کی اشاعت
• ذاتی ڈیٹا پروسیسنگ کو مسدود کرنا
• ذاتی ڈیٹا کو حذف کرنا

پہلا اہم جرمانہ: اے این پی ڈی نے 2023 میں اپنا پہلا جرمانہ عائد کیا، ایک ٹیلی کام آپریٹر اور ایک ہیلتھ پلیٹ فارم کو نشانہ بناتے ہوئے، بڑی کارپوریشنوں اور چھوٹی تنظیموں دونوں کے خلاف نافذ کرنے کی رضامندی کا مظاہرہ کیا۔ آج تک کے جرمانے R$14,400 سے R$14.4 ملین تک ہیں۔

تفتیش کا عمل: ANPD شکایات کی بنیاد پر، یا لازمی خلاف ورزی کی اطلاع کے ذریعے تحقیقات کا آغاز کر سکتا ہے۔ منظوری کے عمل میں موضوع کی تنظیم کو نوٹس، دفاع پیش کرنے کا موقع، اور تعاون اور تدارک پر مبنی سزائیں شامل ہیں۔

---

LGPD تعمیل چیک لسٹ

• LGPD قابل اطلاق تجزیہ مکمل ہو گیا۔
• تمام پروسیسنگ سرگرمیوں کے لیے ڈیٹا میپنگ / RoPA دستاویزی
• ہر پروسیسنگ سرگرمی کے لیے دستاویزی قانونی بنیاد
• حساس ذاتی ڈیٹا کے لیے علیحدہ قانونی بنیاد دستاویزی ہے۔
• رضامندی کے طریقہ کار کا جائزہ لیا گیا — پہلے سے ٹک شدہ باکسز کو ختم کر دیا گیا، مقصد کے لیے مخصوص
• رازداری کی پالیسی/ نوٹس تمام مطلوبہ انکشافات کے ساتھ پرتگالی میں شائع ہوا (برازیل کے صارفین کے لیے)
• DPO (Encarregado) کی تقرری اور رابطے کی معلومات شائع کی گئیں۔
• ڈیٹا کے موضوع کے حقوق کے طریقہ کار کو دستاویزی اور جانچا گیا (رسائی/تصدیق کے لیے 15 دن کا جواب)
• پروسیسر کے معاہدوں کا جائزہ لیا گیا اور LGPD کی مطلوبہ دفعات کے ساتھ اپ ڈیٹ کیا گیا۔
• تمام بین الاقوامی ڈیٹا کے بہاؤ کے لیے سرحد پار منتقلی کے طریقہ کار کا جائزہ لیا گیا۔
• حفاظتی اقدامات ڈیٹا کی حساسیت کے متناسب دستاویزی اور نافذ کیے گئے ہیں۔
• واقعہ کا جواب اور خلاف ورزی کی اطلاع کا طریقہ کار (2 دن کا ابتدائی، 5 دن مکمل) دستاویزی
• برقرار رکھنے کے نظام الاوقات دستاویزی اور خود کار طریقے سے حذف کرنے کی ترتیب
• LGPD پر ملازمین کی تربیت مکمل اور دستاویزی
• نئی مصنوعات اور خصوصیات کے لیے ڈیزائن کے جائزے کے لحاظ سے رازداری

---

اکثر پوچھے گئے سوالات

اگر ہم برازیل میں مقیم نہیں ہیں تو کیا LGPD میری کمپنی پر لاگو ہوتا ہے؟

ہاں، اگر آپ کی پروسیسنگ میں برازیل میں جمع کردہ ڈیٹا شامل ہے، یا اگر آپ برازیل میں افراد کو سامان یا خدمات پیش کرتے ہیں۔ LGPD کا بیرونی دائرہ کار GDPR کے نقطہ نظر سے ملتا جلتا ہے۔ ایک کمپنی جو مکمل طور پر برازیل سے باہر کام کر رہی ہے لیکن برازیل کے صارفین کی خدمت کرنے والی پرتگالی زبان کی ویب سائٹ چلا رہی ہے، یا برازیل کے دور دراز کے کارکنوں کو ملازمت دے رہی ہے، ان افراد کے ڈیٹا کے لیے LGPD کی تعمیل کرنی چاہیے۔

GDPR کے مقابلے LGPD جرمانہ کیا ہے؟

LGPD کا زیادہ سے زیادہ جرمانہ برازیل کی سالانہ آمدنی کا 2% ہے، جس کی حد R$50 ملین ($10 ملین USD) فی خلاف ورزی ہے۔ GDPR کی زیادہ سے زیادہ عالمی سالانہ آمدنی کا 4% یا €20 ملین، جو بھی زیادہ ہو۔ بڑی ملٹی نیشنلز کے لیے، GDPR جرمانے LGPD جرمانے سے کافی زیادہ ہو سکتے ہیں۔ تاہم، LGPD کی "فی خلاف ورزی" کی فریمنگ - جہاں ہر ڈیٹا کا موضوع ممکنہ طور پر ایک الگ خلاف ورزی ہو سکتا ہے - کا مطلب ہے کہ مجموعی نمائش بڑے پیمانے پر ہونے والے واقعات کے لیے بہت اہم ہو سکتی ہے۔

کیا LGPD کی رضامندی GDPR کی رضامندی جیسی ہے؟

تصور میں یکساں لیکن کچھ اختلافات کے ساتھ۔ دونوں کو مفت، باخبر، مخصوص اور غیر مبہم رضامندی کی ضرورت ہوتی ہے۔ ایل جی پی ڈی کی رضامندی تحریری طور پر فراہم کی جانی چاہیے یا دوسرے طریقوں سے معاہدے کا مظاہرہ کرتے ہوئے (اے این پی ڈی نے ابھی تک ڈیجیٹل رضامندی کے فارموں پر رہنمائی کو حتمی شکل نہیں دی ہے)۔ جی ڈی پی آر کے برعکس، ایل جی پی ڈی کے پاس روزگار کے سیاق و سباق کے لیے مخصوص "آزادانہ طور پر دیا جانے والا" ٹیسٹ نہیں ہے - حالانکہ ملازمت کے تعلقات میں طاقت کا عدم توازن اس بات سے متعلق ہے کہ آیا رضامندی واقعی مفت تھی۔ حساس ڈیٹا کے لیے، LGPD اور GDPR دونوں کو ایک بلند، واضح رضامندی کا معیار درکار ہے۔

برازیل میں صحت کی دیکھ بھال کے ڈیٹا پر LGPD کا اطلاق کیسے ہوتا ہے؟

ہیلتھ کیئر ڈیٹا کو ایل جی پی ڈی کے تحت حساس ذاتی ڈیٹا کے طور پر درجہ بندی کیا جاتا ہے۔ پروسیسنگ کے لیے واضح رضامندی کی ضرورت ہوتی ہے یا صحت کے تحفظ سمیت مخصوص قانونی بنیادوں کے تحت آتا ہے (آرٹیکل 11, II, c — صحت کے پیشہ ور افراد یا اداروں کے ذریعہ انجام دیا جاتا ہے)۔ برازیل میں صحت کی دیکھ بھال کرنے والی تنظیموں کو برازیلین ہیلتھ ریگولیٹری ایجنسی (ANVISA) اور فیڈرل کونسل آف میڈیسن (CFM) کے شعبے کے مخصوص ضوابط کی بھی تعمیل کرنی چاہیے۔ ایل جی پی ڈی اور صحت کے شعبے کے ضوابط متوازی طور پر کام کرتے ہیں۔

کیا چھوٹے کاروباروں کے لیے تعمیل کی آسان ذمہ داریاں ہیں؟

جی ہاں ANPD ریزولیوشن CD/ANPD نمبر 2/2022 نے "چھوٹے ڈیٹا پروسیسرز" کے لیے آسان تعمیل کی ذمہ داریاں قائم کی ہیں — جو قدرتی افراد یا نجی قانونی اداروں کے طور پر بیان کیے گئے ہیں جن کی سالانہ آمدنی R$4 ملین، یا کچھ اقسام کے لیے R$16 ملین تک ہے۔ آسان ذمہ داریوں میں کم رپورٹنگ کی ضروریات اور آرام دہ ڈی پی او کی ضروریات شامل ہیں۔ تاہم، بنیادی ذمہ داریاں بشمول قانونی بنیادوں پر دستاویزات، ڈیٹا کے موضوع کے حقوق، اور حفاظتی اقدامات لاگو رہتے ہیں۔

---

اگلے اقدامات

برازیل لاطینی امریکہ کی سب سے بڑی ڈیجیٹل مارکیٹوں میں سے ایک ہے، اور برازیل کے انٹرپرائز صارفین اور سرکاری خریداری کے عمل کے لیے LGPD کی تعمیل تیزی سے درکار ہے۔ چاہے آپ پہلی بار برازیل میں توسیع کر رہے ہوں یا تعمیل کے موجودہ خلا کو دور کر رہے ہوں، ECOSIRE کی ٹیم آپ کو LGPD کی ضروریات کو نیویگیٹ کرنے میں مدد کر سکتی ہے۔

ڈیٹا میپنگ اور قانونی بنیاد پر دستاویزات سے لے کر آپ کے ٹکنالوجی پلیٹ فارمز میں رازداری کے لحاظ سے ڈیزائن کو نافذ کرنے تک، ہماری خدمات مکمل تعمیل لائف سائیکل کا احاطہ کرتی ہیں۔

مزید جانیں: ECOSIRE سروسز

ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی مشورے پر مشتمل نہیں ہے۔ ANPD کے ضوابط اور نفاذ کی رہنمائی کے ذریعے LGPD کے تقاضے تیار ہوتے رہتے ہیں۔ اپنی تنظیم کے لیے مخصوص مشورے کے لیے قابل برازیلی قانونی مشیر سے رجوع کریں۔