ہماری Compliance & Regulation سیریز کا حصہ
مکمل گائیڈ پڑھیںCCPA/CPRA تعمیل: کیلیفورنیا پرائیویسی گائیڈ برائے کاروبار
کیلیفورنیا کے رازداری کے قوانین ریاستہائے متحدہ میں سب سے زیادہ جامع ہیں - اور وہ دنیا بھر میں ان کاروباروں پر لاگو ہوتے ہیں جو مخصوص حدوں کو پورا کرتے ہیں۔ کیلی فورنیا کنزیومر پرائیویسی ایکٹ (CCPA، 1 جنوری 2020 سے لاگو) کیلیفورنیا پرائیویسی رائٹس ایکٹ (CPRA، 1 جنوری 2023 سے مؤثر) کے ذریعے نمایاں طور پر توسیع کی گئی، جس نے ایک وقف نافذ کرنے والی ایجنسی بنائی، نئے صارفین کے حقوق متعارف کرائے، اور "حساس ذاتی معلومات" کو سنبھالنے والے کاروبار کے لیے تعمیل کی ذمہ داریوں کو بڑھایا۔ کیلی فورنیا پرائیویسی پروٹیکشن ایجنسی (CPPA) کے ساتھ اب فعال اور فعال طور پر خلاف ورزیوں کی تحقیقات کر رہی ہے، نفاذ کا خطرہ حقیقی اور بڑھ رہا ہے۔
یہ گائیڈ ہر وہ چیز کا احاطہ کرتا ہے جو کاروبار کو CCPA/CPRA کی تعمیل کو حاصل کرنے اور برقرار رکھنے کے لیے جاننے کی ضرورت ہے: دائرہ کار کی حد، صارفین کے حقوق، مطلوبہ انکشافات، آپٹ آؤٹ میکینکس، ڈیٹا کو کم سے کم کرنے کی ذمہ داریاں، اور CPPA کے نفاذ کا طریقہ۔
اہم ٹیک ویز
- CCPA/CPRA کا اطلاق منافع بخش کاروباروں پر ہوتا ہے جو تین میں سے کسی ایک حد کو پورا کرتے ہیں — آمدنی، ڈیٹا کا حجم، یا ڈیٹا شیئرنگ سے ہونے والی آمدنی CPRA کے تحت صارفین کے پاس 11 الگ الگ حقوق ہیں جن میں درست کرنے کا حق اور حساس ذاتی معلومات کے استعمال کو محدود کرنے کا حق شامل ہے۔
- "فروخت یا اشتراک نہ کریں" آپٹ آؤٹ آپ کے ہوم پیج پر ایک واحد، واضح طور پر نظر آنے والا لنک ہونا چاہیے
- حساس ذاتی معلومات (SPI) اضافی ذمہ داریوں کو متحرک کرتی ہے جس میں پروسیسنگ کو محدود کرنے کا حق بھی شامل ہے۔
- CPPA نفاذ 2023 میں فعال ہو گیا جس میں 7,500 ڈالر فی جان بوجھ کر خلاف ورزی پر جرمانے
- کاروباری اداروں کو ہائی رسک پروسیسنگ سرگرمیوں کے لیے سالانہ ڈیٹا پروٹیکشن اسسمنٹ کرنا چاہیے۔
- سروس فراہم کنندہ کے معاہدوں کو نیچے کی طرف سے ذاتی معلومات کے استعمال کو محدود کرنا چاہیے۔
- برقرار رکھنے کے دورانیے کو ظاہر کیا جانا چاہیے اور جب بیان کردہ مقاصد کے لیے مزید ضرورت نہ ہو تو ڈیٹا کو حذف کر دیا جانا چاہیے۔
CCPA/CPRA قابل اطلاق حد
CCPA/CPRA ان منافع بخش کاروباروں پر لاگو ہوتا ہے جو کیلیفورنیا کے صارفین کی ذاتی معلومات اکٹھا کرتے ہیں اور درج ذیل میں سے کوئی ایک کو پورا کرتے ہیں:
- سالانہ مجموعی آمدنی $25 ملین سے زیادہ (پچھلے کیلنڈر سال میں)
- سالانہ 100,000+ صارفین یا گھرانوں کی ذاتی معلومات خریدتا، بیچتا، وصول کرتا یا شیئر کرتا ہے (CPRA نے اصل CCPA کی حد کو 50,000 سے کم کر دیا)
- صارفین کی ذاتی معلومات کی فروخت یا اشتراک سے سالانہ آمدنی کا %50 یا اس سے زیادہ حاصل ہوتا ہے
جغرافیائی دائرہ کار: قانون کا اطلاق اس بنیاد پر ہوتا ہے کہ صارفین کہاں رہتے ہیں، نہ کہ جہاں آپ کا کاروبار شامل ہے۔ کیلیفورنیا کے صارفین کے ساتھ سالانہ 30 ملین ڈالر کی آمدنی حاصل کرنے والی پاکستانی سافٹ ویئر کمپنی کو اس کی تعمیل کرنی ہوگی۔
استثنیات: ایمپلائمنٹ ڈیٹا (B2B ملازم ڈیٹا) کو عارضی CCPA چھوٹ موصول ہوئی جو CPRA کے تحت 1 جنوری 2023 کو ختم ہوگئیں۔ B2B رابطہ کی معلومات کی استثنیٰ بھی ختم ہو گئی۔ بہت سے مالیاتی ادارے گرام-لیچ-بلی ایکٹ کے تحت جزوی طور پر مستثنیٰ ہیں۔ HIPAA کے زیر احاطہ صحت کے اعداد و شمار کا الگ علاج ہے۔
دیگر امریکی ریاستی قوانین پر نوٹ: جب کہ یہ گائیڈ CCPA/CPRA پر مرکوز ہے، 2025 تک، انیس امریکی ریاستوں نے مختلف حدوں اور تقاضوں کے ساتھ رازداری کے جامع قوانین نافذ کیے ہیں۔ کثیر ریاستی تعمیل کرنے والی کمپنیوں کو کیلیفورنیا کے ساتھ ساتھ ورجینیا (VCDPA)، کولوراڈو (CPA)، Connecticut (CTDPA)، Texas (TDPSA) اور دیگر کا جائزہ لینا چاہیے۔
ذاتی معلومات اور حساس ذاتی معلومات
ذاتی معلومات (PI) CCPA/CPRA کے تحت ایسی معلومات کا مطلب ہے جو شناخت کرتی ہے، اس سے متعلق، بیان کرتی ہے، معقول حد تک اس سے وابستہ ہونے کے قابل ہے، یا کسی خاص صارف یا گھرانے سے معقول طور پر منسلک ہو سکتی ہے۔ یہ پرانے امریکی قوانین کے تحت "ذاتی طور پر قابل شناخت معلومات" (PII) سے خاص طور پر وسیع ہے۔
واضح طور پر شامل زمرہ جات میں شامل ہیں:
- شناخت کنندگان (نام، ای میل، فون، آئی پی ایڈریس، اکاؤنٹ کے نام، SSN، ڈرائیور کا لائسنس نمبر)
- تجارتی معلومات (خرید کی گئی مصنوعات/خدمات کا ریکارڈ، براؤزنگ/خریداری کی تاریخ)
- بایومیٹرک معلومات
- انٹرنیٹ یا دیگر الیکٹرانک نیٹ ورک کی سرگرمی (براؤزنگ کی سرگزشت، تلاش کی سرگزشت، ویب سائٹس کے ساتھ تعامل)
- جغرافیائی محل وقوع کا ڈیٹا
- پیشہ ورانہ یا ملازمت سے متعلق معلومات
- تعلیم کی معلومات
- کنزیومر پروفائلز بنانے کے لیے مندرجہ بالا میں سے کسی سے بھی اخذ کردہ نتائج
حساس ذاتی معلومات (SPI) — ایک CPRA اضافہ — میں PI کا ایک ذیلی سیٹ شامل ہے جس کو زیادہ تحفظات کی ضرورت ہوتی ہے:
- سوشل سیکورٹی، ڈرائیور کا لائسنس، ریاستی شناخت، یا پاسپورٹ نمبر
- اکاؤنٹ لاگ ان کی اسناد (صارف نام/ای میل + پاس ورڈ یا سیکورٹی سوال)
- مالی اکاؤنٹ کی معلومات + رسائی کوڈز
- درست جغرافیائی محل وقوع (ایک میل کے 1/8 کے اندر)
- نسلی یا نسلی اصل
- مذہبی یا فلسفیانہ عقائد
- یونین کی رکنیت
- میل، ای میل، یا ٹیکسٹ میسج کے مشمولات (جب تک کہ کاروبار مطلوبہ وصول کنندہ نہ ہو)
- جینیاتی ڈیٹا
- صحت یا طبی حالت کا ڈیٹا
- جنسی رجحان یا جنسی زندگی
- منفرد شناخت کے لیے بایومیٹرک معلومات
SPI کے لیے، صارفین کو استعمال کو محدود کرنے کا اضافی حق حاصل ہے — کاروبار SPI کو درخواست کردہ پروڈکٹ یا سروس (علاوہ محدود اضافی مقاصد) فراہم کرنے کے لیے ضروری حد سے زیادہ استعمال نہیں کر سکتے، جب تک کہ صارف وسیع تر استعمال کا انتخاب نہ کرے۔
CPRA کے تحت صارفین کے حقوق
CPRA نے CCPA کے پانچ صارفین کے حقوق کو بڑھا کر گیارہ کر دیا۔ ہر ایک کو پورا کرنے کے لیے کاروبار کے پاس دستاویزی عمل ہونا ضروری ہے:
| دائیں | رسپانس ٹائم لائن | نوٹس |
|---|---|---|
| جاننے کا حق (زمرے) | 45 دن (45 مزید قابل توسیع) | رازداری کی پالیسی میں جمع کردہ زمرے اور مقاصد کا انکشاف کریں |
| جاننے کا حق (مخصوص ٹکڑے) | 45 دن (قابل توسیع) | فرد کے بارے میں جمع کردہ مخصوص PI فراہم کریں |
| حذف کرنے کا حق | 45 دن (قابل توسیع) | سروس فراہم کنندگان اور ٹھیکیداروں کے لیے جھرنا حذف کرنا |
| درست کرنے کا حق | 45 دن (قابل توسیع) | CPRA کے تحت نیا - درست غلط PI |
| فروخت/شیئرنگ سے آپٹ آؤٹ کرنے کا حق | 15 کاروباری دنوں کے اندر عزت | "فروخت یا اشتراک نہ کریں" لنک کو لاگو کریں۔ |
| SPI کے استعمال کو محدود کرنے کا حق | فوری طور پر عزت کرو | اگر SPI پر غیر ضروری مقاصد کے لیے کارروائی کی گئی ہے تو "My Sensitive PI کے استعمال کو محدود کریں" لنک کو لاگو کریں۔ |
| غیر امتیازی سلوک کا حق | فوری | سروس سے انکار نہیں کر سکتے، مختلف قیمت وصول کر سکتے ہیں، یا حقوق کے استعمال کے لیے کمتر سروس فراہم نہیں کر سکتے ہیں۔ |
| پورٹیبلٹی کا حق | 45 دن (قابل توسیع) | آسانی سے قابل استعمال فارمیٹ میں ڈیٹا فراہم کریں |
| خودکار فیصلہ سازی کے بارے میں جاننے کا حق | اصول سازی کی ضرورت ہے | CPPA ترقی پذیر ضوابط |
| خودکار فیصلہ سازی سے آپٹ آؤٹ کرنے کا حق | اصول سازی کی ضرورت ہے | CPPA ترقی پذیر ضوابط |
| PI کو درست کرنے کا حق فریق ثالث کے ساتھ اشتراک کیا گیا | 45 دن (قابل توسیع) | تیسرے فریق کو درست کرنے کی ہدایت کریں |
تصدیق کے تقاضے: صارفین کی درخواستوں کا جواب دینے سے پہلے، آپ کو "معقول طور پر محفوظ" طریقہ استعمال کرتے ہوئے درخواست کنندہ کی شناخت کی تصدیق کرنی ہوگی۔ آن لائن درخواستوں کے لیے، مماثل ای میل ایڈریس + دوسرا شناخت کنندہ عام طور پر کافی ہوتا ہے۔ آپ صارفین سے صرف درخواستیں جمع کرانے کے لیے اکاؤنٹ بنانے کی ضرورت نہیں کر سکتے۔ PI کے مخصوص ٹکڑوں کے لیے ناقابل تصدیق درخواستوں کو صرف زمروں کی درخواستوں کے طور پر سمجھا جانا چاہیے۔
مجاز ایجنٹ: صارفین اپنی جانب سے درخواستیں جمع کرانے کے لیے مجاز ایجنٹوں کو نامزد کر سکتے ہیں۔ آپ کو ایجنٹ سے صارف کی دستخط شدہ اجازت کا ثبوت فراہم کرنے کی ضرورت پڑ سکتی ہے۔
رازداری کے نوٹس کے تقاضے
جمع کرنے کے وقت یا اس سے پہلے: کاروباروں کو صارفین کو اس بارے میں مطلع کرنا چاہیے کہ PI کیا جمع کیا جاتا ہے اور جمع کرنے سے پہلے یا اس وقت کن مقاصد کے لیے۔ یہ تمام کلیکشن پوائنٹس پر لاگو ہوتا ہے: ویب سائٹ فارمز، موبائل ایپس، پوائنٹ آف سیل، چیٹ بوٹس، اور ڈیٹا بروکر کی خریداری۔
رازداری کی پالیسی کے تقاضے (کم از کم ہر 12 ماہ بعد اپ ڈیٹ کریں):
- پچھلے 12 مہینوں میں جمع کیے گئے PI کے زمرے
- وہ مقاصد جن کے لیے PI استعمال کیا جاتا ہے۔
- پچھلے 12 مہینوں میں فروخت یا اشتراک کردہ PI کے زمرے
- فریق ثالث کے زمرے جن کے لیے PI کا انکشاف کیا گیا ہے۔
- ذرائع کے زمرے جن سے PI جمع کیا جاتا ہے۔
- صارفین کے حقوق اور ان کا استعمال کیسے کریں۔
- درخواستیں جمع کرانے کے لیے رابطہ کی معلومات
- آیا PI فروخت کیا جاتا ہے یا اشتراک کیا جاتا ہے، اور آپٹ آؤٹ کرنے کا طریقہ
- آیا SPI پر پروڈکٹ/سروس فراہم کرنے کے علاوہ دیگر مقاصد کے لیے کارروائی کی جاتی ہے۔
- PI کے ہر زمرے کے لیے برقراری کی مدت (یا برقرار رکھنے کا تعین کرنے کے لیے استعمال کیا جاتا معیار)
"میری ذاتی معلومات کو فروخت یا شیئر نہ کریں" کا لنک: آپ کے ہوم پیج پر اور آپ کی رازداری کی پالیسی میں ایک واضح اور نمایاں لنک ہونا چاہیے۔ اگر لنک فوٹر یا نیویگیشن ایریا میں ہے جس کا آپ کی سائٹ پر اشتراک کیا گیا ہے، تو یہ اہل ہے۔ لنک کو ایک ایسے صفحہ کی طرف لے جانا چاہیے جہاں صارفین ایک قدم کے ساتھ آپٹ آؤٹ کر سکتے ہیں (ملٹی سٹیپ فارمز میں دفن نہیں)۔
"میری حساس ذاتی معلومات کے استعمال کو محدود کریں" لنک: اگر آپ درخواست کردہ پروڈکٹ یا سروس فراہم کرنے کے لیے ضروری SPI پر کارروائی کرتے ہیں تو اس کی ضرورت ہے۔ ایک علیحدہ لنک ہو سکتا ہے یا ڈونٹ سیل/شیئر لنک کے ساتھ مل سکتا ہے۔
آپٹ آؤٹ ترجیحی سگنلز (GPC): کاروباروں کو گلوبل پرائیویسی کنٹرول (GPC) سگنل کا احترام کرنا چاہیے — ایک براؤزر کی سطح کی ترتیب صارفین فروخت اور اشتراک سے آپٹ آؤٹ کا اشارہ دینے کے لیے فعال کر سکتے ہیں۔ بہت سے پرائیویسی فوکسڈ براؤزرز مقامی طور پر GPC کو سپورٹ کرتے ہیں۔ آپ کی ویب سائٹ کو GPC سگنلز کا پتہ لگانا اور ان کا احترام کرنا چاہیے۔ CPPA نے خاص طور پر کمپنیوں کو GPC کا احترام کرنے میں ناکامی کا حوالہ دیا ہے۔
ذاتی معلومات کی فروخت اور اشتراک
"فروخت" کا مطلب ہے CCPA/CPRA کے تحت ذاتی معلومات کو کسی دوسرے کاروبار یا تیسرے فریق کو مالیاتی یا دیگر قیمتی غور کے لیے ظاہر کرنا یا دستیاب کرنا۔ یہ "ڈیٹا فروخت کرنے" کی عام فہم سے زیادہ وسیع ہے۔
"شیئرنگ" CPRA کے تحت مالیاتی غور و فکر کے بغیر بھی کراس سیاق و سباق کے طرز عمل کی تشہیر کا اضافہ کرتا ہے — خاص طور پر مختلف ویب سائٹس یا خدمات پر صارفین کی براؤزنگ کی بنیاد پر اشتہارات کو ہدف بنانا۔
عملی طور پر، مندرجہ ذیل عام طرز عمل ممکنہ طور پر فروخت یا اشتراک کو تشکیل دیتے ہیں:
- ڈیٹا بروکرز کے ساتھ PI کا اشتراک کرنا
- تھرڈ پارٹی ایڈورٹائزنگ پکسلز (میٹا پکسل، گوگل اینالیٹکس 4 ایڈورٹائزنگ موڈ میں) استعمال کرنا جو صارف کا ڈیٹا ٹارگٹ کرنے کے لیے پلیٹ فارمز کو بھیجتے ہیں۔
- ایک جیسے سامعین کے لیے اشتہاری نیٹ ورکس کے ساتھ صارفین کی فہرستوں کا اشتراک کرنا
- ریئل ٹائم بولی لگانے والے ماحولیاتی نظام میں حصہ لینا
نابالغوں کے لیے رضامندی کے تقاضے:
- عمریں 13–15: اپنے PI کو بیچنے/شیئر کرنے سے پہلے آپٹ ان کی ضرورت ہے۔
- 13 سال سے کم عمر: والدین/سرپرست آپٹ ان کی ضرورت ہے (COPPA بھی لاگو ہوتا ہے)
سروس پرووائیڈرز بمقابلہ فریق ثالث: سروس پرووائیڈر کو ایک کمپلائنٹ سروس پرووائیڈر کنٹریکٹ (آپ کو خدمات فراہم کرنے تک اس کے استعمال پر پابندی) کے تحت PI کا انکشاف نہیں ہے "فروخت"۔ PI نے ایک تیسرے فریق کو انکشاف کیا جو اسے اپنے مقاصد کے لیے استعمال کر سکتا ہے (اشتہاری پلیٹ فارمز، ڈیٹا بروکرز) ایک "فروخت" یا "شیئرنگ" ہے۔ یہ فرق آپ کے ڈیٹا شیئرنگ فن تعمیر کے لیے اہم ہے۔
سروس فراہم کنندہ کے معاہدے کے تقاضے: خدمت فراہم کنندہ سے یہ تقاضہ کرنا چاہیے:
- فروخت یا شیئر نہ کریں PI موصول ہوا۔
- سروس سیاق و سباق سے باہر PI کو برقرار نہ رکھیں، استعمال کریں یا ظاہر نہ کریں۔
- قابل اطلاق CPRA تقاضوں کی تعمیل کریں۔
- کاروبار کو آڈٹ کا حق دیں۔
ڈیٹا مائنسائزیشن اور مقصد کی حد (CPRA)
CPRA نے واضح ڈیٹا کو کم سے کم کرنے کے تقاضے متعارف کرائے — کاروبار بیان کردہ مقاصد کو حاصل کرنے کے لیے PI کو صرف معقول طور پر ضروری اور متناسب کے طور پر جمع، استعمال، برقرار، اور شیئر کر سکتے ہیں۔ یہ CCPA کے انکشاف پر مرکوز نقطہ نظر سے ایک اہم تبدیلی کی نمائندگی کرتا ہے۔
عمل درآمد کے مضمرات:
- ڈیٹا اکٹھا کرنے کے ہر پوائنٹ کا آڈٹ کریں اور PI کے جمع کرنے کو ختم کریں جو ظاہر شدہ مقاصد کے لیے استعمال نہیں ہوتے ہیں۔
- جمع کیے گئے ہر PI زمرے کے لیے کاروباری مقصد کی دستاویز کریں۔
- برقرار رکھنے کے نظام الاوقات کو ترتیب دیں: جب بیان کردہ مقاصد کے لیے مزید ضروری نہ ہو تو PI کو حذف یا غیر شناخت شدہ ہونا چاہیے۔
- صارفین کی رضامندی کے بغیر PI کے ثانوی استعمال سے گریز کریں۔
برقرار افشاء: رازداری کی پالیسیوں میں PI کے ہر زمرے کے لیے برقراری کے تعین کے لیے برقراری کی مدت یا معیار کو ظاہر کرنا چاہیے۔ توقع ہے کہ CPPA مزید مخصوص رہنمائی کے ساتھ ضوابط جاری کرے گا۔ ابھی کے لیے، ہر PI زمرے کے لیے کاروبار کے لیے جائز برقرار رکھنے کی مدت کو دستاویز کریں۔
ڈیٹا پروٹیکشن اسیسمنٹس اور رسک مینجمنٹ
CPRA کاروباری اداروں سے مطالبہ کرتا ہے کہ وہ پروسیسنگ سرگرمیوں کو لاگو کرنے سے پہلے خطرے کی تشخیص (جسے ڈیٹا پروٹیکشن اسیسمنٹ کہا جاتا ہے) کا انعقاد کیا جائے جو صارفین کے لیے اہم خطرہ پیش کرتی ہیں۔ CPPA ضوابط تیار کر رہا ہے جس میں یہ وضاحت کی گئی ہے کہ کون سی سرگرمیاں تشخیص کی ضروریات کو متحرک کرتی ہیں، لیکن قانون پہلے سے ہی زمروں کی نشاندہی کرتا ہے بشمول:
- PI بیچنا یا شیئر کرنا
- پروسیسنگ SPI
- پروفائلنگ جو اہم خطرہ پیش کرتی ہے۔
- نابالغوں کی پروسیسنگ PI
- PI کو ان طریقوں سے استعمال کرنا جو نقصان کا اہم خطرہ پیش کرتے ہیں۔
اپنے جائزوں کو دستاویز کریں اور ریکارڈ کو برقرار رکھیں۔ جائزوں کی شناخت ہونی چاہیے: پروسیسنگ کا مقصد، اس میں شامل PI، صارفین کے لیے ممکنہ خطرات، اور ان خطرات کو کم کرنے کے لیے لاگو کیے گئے تحفظات۔
CPPA نفاذ اور جرمانے
کیلی فورنیا پرائیویسی پروٹیکشن ایجنسی (CPPA) 2023 میں ریاستہائے متحدہ میں رازداری کے نفاذ کے لیے مختص پہلی باڈی کے طور پر مکمل طور پر فعال ہو گئی۔ CPPA کو تفتیش کرنے، انتظامی سماعتیں کرنے، اور دیوانی جرمانے عائد کرنے کا اختیار ہے:
| خلاف ورزی کی قسم | زیادہ سے زیادہ سزا |
|---|---|
| غیر ارادی خلاف ورزی | $2,500 فی خلاف ورزی |
| جان بوجھ کر خلاف ورزی | $7,500 فی خلاف ورزی |
| نابالغ کا ڈیٹا شامل خلاف ورزی | $7,500 فی خلاف ورزی (فی صارف) |
CPPA فی خلاف ورزی جرمانے لاگو کرتا ہے — یعنی ہر وہ صارف جس کے حقوق کی خلاف ورزی کی گئی ہے ایک الگ خلاف ورزی کی نمائندگی کرتا ہے۔ 100,000 صارفین کو متاثر کرنے والے ڈیٹا کی خلاف ورزی کے نتیجے میں نظریاتی طور پر $750 ملین جرمانے (100,000 × $7,500) ہو سکتے ہیں۔ ابتدائی CPPA نفاذ نے منظم طریقے سے عدم تعمیل کے ساتھ بڑے کاروباروں پر توجہ مرکوز کی ہے۔
کارروائی کا نجی حق: CCPA سیکشن 1798.150 کے تحت، صارفین کے پاس ڈیٹا کی خلاف ورزیوں پر کارروائی کا محدود نجی حق ہے جس میں غیر انکرپٹڈ یا غیر ترمیم شدہ ذاتی معلومات شامل ہیں جس کے نتیجے میں کاروبار کی جانب سے مناسب حفاظتی اقدامات کو نافذ کرنے میں ناکامی ہوتی ہے۔ قانونی نقصانات: $100–$750 فی صارف فی واقعہ، یا اصل نقصانات اگر اس سے زیادہ ہوں۔
CCPA/CPRA تعمیل چیک لسٹ
- قابل اطلاق حد کا تجزیہ مکمل ہو گیا۔
- PI اور SPI انوینٹری تمام سسٹمز اور کلیکشن پوائنٹس پر مکمل ہو گئی۔
- رازداری کی پالیسی کو تمام مطلوبہ انکشافات کے ساتھ اپ ڈیٹ کیا گیا (12 ماہ کا جائزہ)
- ہوم پیج پر "میری ذاتی معلومات کو فروخت یا شیئر نہ کریں" کا لنک
- اگر قابل اطلاق ہو تو "میری حساس ذاتی معلومات کے استعمال کو محدود کریں" لنک
- گلوبل پرائیویسی کنٹرول (GPC) کا پتہ لگانے اور اعزاز کو لاگو کیا گیا ہے۔
- صارفین کی درخواست کے انٹیک کا عمل قائم ہوا (ویب فارم + ٹول فری نمبر)
- شناخت کی تصدیق کا طریقہ کار دستاویزی ہے۔
- تمام 11 صارفین کے حقوق کے لیے رسپانس ورک فلوز دستاویزی اور جانچے گئے ہیں۔
- 45 دن کی جوابی ٹائم لائن تمام درخواستوں کے لیے ٹریک اور دستاویزی ہے۔
- سروس فراہم کنندہ کے معاہدوں کا جائزہ لیا گیا اور CPRA کی ضرورت کے ساتھ اپ ڈیٹ کیا گیا۔
- فریق ثالث کے ڈیٹا شیئرنگ کا آڈٹ کیا گیا (ہر وصول کنندہ کے لیے فروخت/ شیئرنگ کا تعین)
- ڈیٹا کو کم سے کم کرنے کا آڈٹ مکمل ہو گیا - غیر ضروری PI جمع ختم کر دیا گیا۔
- برقرار رکھنے کی مدت دستاویزی اور خود کار طریقے سے حذف کرنے کی ترتیب
- صارفین کے حقوق کے ردعمل کے طریقہ کار پر ملازمین کی تربیت مکمل ہو گئی۔
- ہائی رسک پروسیسنگ سرگرمیوں کے لیے کیے گئے ڈیٹا پروٹیکشن اسسمنٹ
- معمولی رضامندی کے طریقہ کار کو لاگو کیا جاتا ہے اگر نابالغوں کا PI جمع کیا جاتا ہے۔
اکثر پوچھے گئے سوالات
کیا CCPA/CPRA کا اطلاق ملازمین کے ڈیٹا پر ہوتا ہے؟
جی ہاں، 1 جنوری 2023 سے، جب CPRA مؤثر ہو گیا تھا۔ B2B اور ملازمین کے ڈیٹا کے لیے CCPA کی عارضی چھوٹ ختم ہو گئی۔ کیلیفورنیا کے ملازمین (اور ملازمت کے درخواست دہندگان، ٹھیکیداروں، اور ڈائریکٹرز) کے پاس اب CCPA/CPRA کے تحت صارفین کی طرح ان کی ذاتی معلومات کے حوالے سے وہی حقوق ہیں۔ اس کا مطلب ہے کہ کیلیفورنیا میں آجروں کو ملازمین کے لیے پرائیویسی نوٹس کو اپ ڈیٹ کرنا چاہیے، ایمپلائمنٹ PI کے لیے حقوق کی تکمیل کے عمل کو قائم کرنا چاہیے، اور HR سسٹم ڈیٹا کے طریقوں کا جائزہ لینا چاہیے۔
CPRA کے تحت "فروخت" اور "شیئرنگ" میں کیا فرق ہے؟
"فروخت" میں مالیاتی یا دیگر قیمتی غور و فکر کے لیے PI کو ظاہر کرنا شامل ہے — ادائیگی کچھ بھی قیمتی ہو سکتی ہے، بشمول ڈیٹا کے تبادلے کے انتظامات۔ "شیئرنگ" کو CPRA کے ذریعے شامل کیا گیا ہے اور خاص طور پر کراس سیاق و سباق کے طرز عمل کی تشہیر کا احاطہ کرتا ہے جہاں PI کو اشتہاری مقاصد کے لیے فریق ثالث کے ساتھ اشتراک کیا جاتا ہے، یہاں تک کہ مالیاتی غور و فکر کے بغیر۔ عملی اثر: ٹارگٹ کرنے کے لیے اشتہاری پلیٹ فارمز کے ساتھ صارف کے ڈیٹا کا اشتراک کرنا (چاہے آپ انہیں ادائیگی کریں، اس کے برعکس نہیں) CPRA کے تحت "شیئرنگ" ہے اور آپٹ آؤٹ کے حقوق کو متحرک کرتا ہے۔
کیا کوکیز اور ٹریکنگ ٹیکنالوجیز CCPA/CPRA کے تابع ہیں؟
جی ہاں، جہاں وہ ذاتی معلومات اکٹھا کرتے ہیں (بشمول آن لائن شناخت کنندگان جیسے IP پتے) اور جہاں نتیجے میں آنے والا ڈیٹا اشتہاری مقاصد کے لیے فریق ثالث کے ساتھ شیئر کیا جاتا ہے۔ بہت سے عام طرز عمل — اشتہاری خصوصیات کے ساتھ Google Analytics، Meta Pixel، پروگرامی اشتہاری ٹیگز — اشتہاری پلیٹ فارمز کے ساتھ PI کی "شیئرنگ" تشکیل دیتے ہیں، جو آپٹ آؤٹ کی ضروریات کو متحرک کرتے ہیں۔ آپٹ آؤٹ سگنلز کی رضامندی اور احترام کا انتظام کرنے کے لیے ایک کوکی رضامندی کے انتظام کے پلیٹ فارم (OneTrust, Osano, Cookiebot) کو نافذ کریں۔
CPRA کی "حساس ذاتی معلومات" GDPR کی "خصوصی زمرہ جات" سے کیسے مختلف ہے؟
دونوں معلومات کے زمروں کی نشاندہی کرتے ہیں جو زیادہ تحفظ کی ضمانت دیتے ہیں، لیکن وہ مواد اور علاج میں مختلف ہیں۔ GDPR کے خصوصی زمرے (آرٹیکل 9) واضح رضامندی کے بغیر یا کسی مخصوص آرٹیکل 9 کی استثناء کے بغیر پروسیسنگ پر پابندی لگاتے ہیں - یہ قریب قریب کی ممانعت ہے۔ CPRA کا SPI محدود کرنے کا حق بناتا ہے — صارفین درخواست کردہ پروڈکٹ/سروس فراہم کرنے کے لیے استعمال کو محدود کر سکتے ہیں، لیکن کاروبار اب بھی وسیع تر مقاصد کے لیے صارفین کی رضامندی کے ساتھ SPI پر کارروائی کر سکتے ہیں۔ CPRA کی SPI فہرست میں خاص طور پر لاگ ان کی اسناد اور درست جغرافیائی محل وقوع شامل ہیں، جو GDPR کے خصوصی زمروں میں نہیں ہیں۔
CPRA کے تحت "سروس فراہم کرنے والے" بمقابلہ "ٹھیکیدار" بمقابلہ "تیسرے فریق" کیا ہیں؟
CPRA نے "ٹھیکیداروں" کو ایک زمرے کے طور پر شامل کیا۔ سروس فراہم کرنے والوں کو ایک معاہدے کے تحت آپ کی جانب سے سروس فراہم کرنے کے لیے PI موصول ہوتا ہے جس میں وہ اپنے مقاصد کے لیے PI استعمال کرنے سے منع کرتے ہیں۔ ٹھیکیدار وہ کاروبار ہیں جو معاہدے کے تحت کاروباری مقاصد کے لیے PI حاصل کرتے ہیں — سروس فراہم کرنے والوں کی طرح لیکن معاہدے کے تقاضے قدرے مختلف ہوتے ہیں۔ فریق ثالث کو PI موصول ہوتا ہے اور وہ اسے اپنے مقاصد کے لیے استعمال کر سکتے ہیں — فریق ثالث کے لیے کوئی بھی انکشاف ممکنہ طور پر "فروخت" یا "شیئرنگ" ہے جو آپٹ آؤٹ کی ذمہ داریوں کو متحرک کرتا ہے۔ سروس فراہم کنندہ یا ٹھیکیدار کے تعلقات (مناسب معاہدوں کے ساتھ) کے طور پر آپ کے ڈیٹا شیئرنگ تعلقات کو "فروخت" کے طور پر درجہ بندی سے گریز کرتا ہے۔
اگلے اقدامات
CCPA/CPRA کی تعمیل ایک جاری پروگرام ہے، ایک وقتی منصوبہ نہیں۔ جیسا کہ CPPA نئے ضوابط جاری کرتا ہے (خودکار فیصلہ سازی کے قواعد 2025-2026 میں متوقع ہیں)، تعمیل کے تقاضے تیار ہوں گے۔ ایک قابل توسیع پرائیویسی آپریشنز پروگرام بنانا — خودکار صارفین کے حقوق کی تکمیل، ڈیٹا میپنگ، اور رضامندی کے انتظام کے ساتھ — ایک پائیدار راستہ ہے۔
ECOSIRE کاروباروں کو ان کی CCPA/CPRA ذمہ داریوں کا اندازہ لگانے، ان کے ڈیجیٹل پلیٹ فارمز میں تکنیکی تعمیل کے اقدامات کو نافذ کرنے، اور رازداری کے آپریشنز کے ورک فلو کو قائم کرنے میں مدد کرتا ہے۔
شروع کریں: ECOSIRE سروسز
ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی مشورے پر مشتمل نہیں ہے۔ CCPA/CPRA کے تقاضے ضوابط اور نفاذ کی رہنمائی کے ذریعے پیچیدہ اور اکثر اپ ڈیٹ ہوتے ہیں۔ اپنی تنظیم کے لیے مخصوص مشورے کے لیے مستند قانونی مشیر سے رجوع کریں۔
تحریر
ECOSIRE Research and Development Team
ECOSIRE میں انٹرپرائز گریڈ ڈیجیٹل مصنوعات بنانا۔ Odoo انٹیگریشنز، ای کامرس آٹومیشن، اور AI سے چلنے والے کاروباری حل پر بصیرت شیئر کرنا۔
متعلقہ مضامین
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulation سے مزید
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.