سرحد پار ڈیٹا کی منتقلی: SCCs، BCRs، اور مناسبیت کے فیصلے

بین الاقوامی ڈیٹا کی منتقلی عالمی رازداری کی تعمیل کے سب سے زیادہ تکنیکی طور پر پیچیدہ اور قانونی طور پر غیر یقینی علاقوں میں سے ہے۔ جب ذاتی ڈیٹا سرحدوں کے اس پار منتقل ہوتا ہے — EU سے امریکی کلاؤڈ سرورز تک، جاپان سے ملٹی نیشنل کے عالمی HR سسٹم تک، برازیل سے ہندوستانی پروسیسنگ سینٹر تک — متعدد قانونی فریم ورک بیک وقت لاگو ہوتے ہیں، ہر ایک کو ڈیٹا منتقل کرنے سے پہلے مخصوص ٹرانسفر میکانزم کی ضرورت ہوتی ہے۔

Schrems II کے فیصلے (CJEU، 16 جولائی 2020) نے بنیادی طور پر پرائیویسی شیلڈ کو غلط قرار دے کر بین الاقوامی منتقلی کے منظر نامے کو بڑھا دیا اور تنظیموں سے معیاری معاہدے کی شقوں پر مبنی منتقلی کے لیے ٹرانسفر امپیکٹ اسیسمنٹ (TIAs) کرنے کا مطالبہ کیا۔ اس کے بعد سے، تین اہم پیشرفت ہوئی ہیں: EU-US ڈیٹا پرائیویسی فریم ورک کی مناسبیت (جولائی 2023)، اپ ڈیٹ شدہ EU SCCs (جون 2021)، اور چین (PIPL)، ہندوستان (DPDP ایکٹ) اور سعودی عرب (PDPL) جیسے ممالک سے قومی سطح کی منتقلی کی پابندیوں کا پھیلاؤ۔ یہ گائیڈ بین الاقوامی ڈیٹا ٹرانسفر بھولبلییا کو نیویگیٹ کرنے کے لیے ایک جامع روڈ میپ فراہم کرتا ہے۔

اہم ٹیک ویز

• EU GDPR مناسب تحفظ یا مناسب تحفظات کے بغیر غیر EEA ممالک کو ذاتی ڈیٹا کی منتقلی پر پابندی لگاتا ہے
• مناسبیت کے فیصلے سب سے آسان طریقہ کار ہیں - اگر منزل مقصود ملک کے پاس EU کی مناسبیت ہے تو کسی اضافی حفاظتی اقدامات کی ضرورت نہیں ہے۔
• معیاری معاہدے کی شقیں (2021 SCCs) سب سے زیادہ استعمال ہونے والا طریقہ کار ہیں — چار ماڈیولز جو کنٹرولر سے کنٹرولر، کنٹرولر سے پروسیسر، پروسیسر سے کنٹرولر، اور پروسیسر سے پروسیسر کی منتقلی کا احاطہ کرتے ہیں۔
• ایس سی سی کی بنیاد پر منتقلی کے لیے ٹرانسفر امپیکٹ اسیسمنٹ (TIAs) کی ضرورت ہوتی ہے — اس بات کا اندازہ لگائیں کہ آیا منزل والے ملک کا قانون موثر تحفظ فراہم کرتا ہے
• بائنڈنگ کارپوریٹ رولز (BCRs) انٹرا گروپ ٹرانسفر کے لیے کام کرتے ہیں لیکن EU DPA کی منظوری درکار ہوتی ہے — ایک 2-3 سال کا عمل
• EU-US ڈیٹا پرائیویسی فریم ورک (جولائی 2023) امریکی منتقلی کے لیے ایک مناسبیت پر مبنی طریقہ کار فراہم کرتا ہے — DPF سرٹیفیکیشن کی حیثیت کی تصدیق کریں
• چائنا پی آئی پی ایل، سعودی عرب پی ڈی پی ایل، اور انڈیا ڈی پی ڈی پی سبھی آؤٹ باؤنڈ ٹرانسفر پابندیاں عائد کرتے ہیں جن کے لیے ان کے اپنے میکانزم کی ضرورت ہوتی ہے۔
• علاقائی ڈیٹا لوکلائزیشن کے تقاضے (روس، چین برائے CIIOs، سعودی صحت/مالیاتی ڈیٹا) کچھ مخصوص آؤٹ باؤنڈ منتقلی کو مکمل طور پر ممنوع قرار دیتے ہیں

---

منتقلی کی پابندیوں کی قانونی بنیاد

EU GDPR باب V

GDPR باب V (مضامین 44-49) یہ ثابت کرتا ہے کہ ذاتی ڈیٹا صرف تیسرے ملک کو منتقل کیا جا سکتا ہے اگر:

1. یورپی کمیشن نے اس ملک کے لیے ایک مناسب فیصلہ اپنایا ہے (آرٹیکل 45)
2. مناسب حفاظتی اقدامات موجود ہیں (آرٹیکل 46) - SCCs، BCRs، پابند عہدوں کے ساتھ منظور شدہ ضابطہ اخلاق، منظور شدہ سرٹیفیکیشن میکانزم، سرکاری حکام کے درمیان قانونی طور پر پابند آلات
3. ایک مخصوص توہین کا اطلاق ہوتا ہے (آرٹیکل 49) — واضح رضامندی، معاہدہ کی ضرورت، قانونی دعوے، اہم مفادات، مفاد عامہ، عوامی رجسٹر

اصول: EU کا ذاتی ڈیٹا جہاں بھی بہہ جائے اسی سطح کے تحفظ سے لطف اندوز ہونا چاہیے۔ منتقلی کا طریقہ کار وہ آلہ ہے جو نظریاتی طور پر اسے حاصل کرتا ہے۔

کلیدی کیس کا قانون

**Schrems I (CJEU, 2015): EU-US کی منتقلی کے لیے محفوظ ہاربر فریم ورک کو باطل کر دیا، یہ معلوم کر کے کہ امریکی قومی سلامتی کا قانون GDPR اصولوں کے مؤثر نفاذ کو روکتا ہے۔

**Schrems II (CJEU، 2020): ناکارہ رازداری کی شیلڈ (سیف ہاربر کا جانشین)؛ نے پایا کہ ماڈل کی شقیں (SCCs) اصولی طور پر درست رہتی ہیں لیکن کنٹرولرز/پروسیسرز کو ہر صورت اس بات کی تصدیق کرنی چاہیے کہ منزل مقصود ملک مؤثر تحفظ فراہم کرتا ہے۔ اس سے TIA کی ضرورت پیدا ہوئی۔

EU-US ڈیٹا پرائیویسی فریم ورک (کمیشن کا فیصلہ، جولائی 2023): انٹیلی جنس اصلاحات کے اشارے پر امریکی ایگزیکٹو آرڈر 14086 (اکتوبر 2022) کے بعد اپنایا گیا۔ مصدقہ DPF شرکاء کے لیے مناسبیت فراہم کرتا ہے۔ میکس شریمس کے ذریعہ آئرش عدالتوں میں چیلنج کیا گیا — Schrems III کی کارروائی جاری ہے لیکن DPF درست رہتا ہے جب تک کہ CJEU معطلی جاری نہیں کرتا۔

---

مناسب فیصلے

منتقلی کا آسان ترین طریقہ کار: اگر کمیشن نے مطلوبہ ملک کے لیے مناسب فیصلہ اختیار کیا ہے تو کسی اضافی حفاظتی اقدام کی ضرورت نہیں ہے۔

موجودہ EU مناسبیت کے فیصلے (مارچ 2026 تک):

• اندورا، ارجنٹائن، کینیڈا (تجارتی تنظیمیں)، جزائر فیرو، گرنسی، اسرائیل، آئل آف مین، جاپان، جرسی، نیوزی لینڈ، جمہوریہ کوریا، سوئٹزرلینڈ، برطانیہ، یوراگوئے، ریاستہائے متحدہ (EU-US ڈیٹا پرائیویسی فریم ورک — صرف DPF کے تحت تصدیق شدہ تنظیمیں)

اہم انتباہات:

• US: صرف EU-US DPF کے تحت تصدیق شدہ تنظیموں کے لیے قابلیت۔ غیر مصدقہ امریکی کمپنیوں میں منتقلی کے لیے SCCs، BCRs، یا دیگر میکانزم کی ضرورت ہوتی ہے۔ مناسبیت پر بھروسہ کرنے سے پہلے DPF ویب سائٹ (dataprivacyframework.gov) پر DPF سرٹیفیکیشن کی حیثیت کی تصدیق کریں۔
• کینیڈا: قابلیت PIPEDA کے تحت تجارتی تنظیموں کا احاطہ کرتی ہے - کینیڈا کے تمام اداروں یا صوبائی نجی شعبے کے قوانین کا احاطہ نہیں کرتی ہے۔
• جاپان: EU کے ذاتی ڈیٹا کے ضمنی اصولوں سے مشروط مناسبیت
• برطانیہ: چار سالہ غروب آفتاب کی شق کے ساتھ جون 2021 کو اپنایا گیا مناسب فیصلہ؛ 2025 میں تجدید متوقع ہے۔

قابلیت کے فیصلے پر نظرثانی کے تابع ہیں اور انہیں معطل کیا جا سکتا ہے — Schrems II کیس مناسبیت پر انحصار کے خطرے کو ظاہر کرتا ہے۔ ہنگامی ایس سی سی دستاویزات کو برقرار رکھیں یہاں تک کہ جہاں بھی مناسبیت کا اطلاق ہوتا ہے۔

---

معیاری معاہدے کی شقیں (EU SCCs 2021)

2021 EU SCCs (کمیشن کا فیصلہ 2021/914، 4 جون، 2021) نے پرانے ماڈل کی شقوں کو تبدیل کیا اور ایک ماڈیولر ڈھانچہ متعارف کرایا جس میں منتقلی کے چاروں منظرنامے شامل ہیں:

چار ماڈیولز

ماڈیول 1 — کنٹرولر سے کنٹرولر (C2C): دو ڈیٹا کنٹرولرز۔ سب سے عام کے لیے: غیر منسلک کمپنیوں کے درمیان ڈیٹا کا اشتراک، CRM وینڈرز کو کسٹمر ڈیٹا بھیجنا جو اپنے مقاصد کے لیے کارروائی کریں گے، مشترکہ ڈیٹا پارٹنرشپ۔

ماڈیول 2 — کنٹرولر ٹو پروسیسر (C2P): ڈیٹا کنٹرولر تھرڈ پارٹی پروسیسر کو پروسیسنگ آؤٹ سورس کرتا ہے۔ سب سے عام کے لیے: کلاؤڈ سروسز، SaaS، IT آؤٹ سورسنگ، تجزیاتی خدمات، ڈیٹا سینٹرز۔

ماڈیول 3 — پروسیسر سے پروسیسر (P2P): سب پروسیسر کے انتظامات۔ استعمال کیا جاتا ہے جب ایک پروسیسر ذیلی پروسیسر استعمال کرتا ہے۔

**ماڈیول 4 — پروسیسر ٹو کنٹرولر (P2C): پروسیسر کنٹرولر کو ڈیٹا واپس کرتا ہے۔ کم عام؛ مخصوص فن تعمیر کے منظرناموں میں استعمال کیا جاتا ہے۔

SCC لازمی اجزاء

2021 SCCs میں لازمی شقیں شامل ہیں جن میں ترمیم نہیں کی جا سکتی:

• شق 2: اثر اور تغیر - فریقین اس بات پر متفق ہیں کہ شقوں میں ترمیم نہیں کی جا سکتی سوائے اجازت شدہ طریقوں کے
• شق 7: ڈاکنگ شق - اضافی جماعتوں کو شامل ہونے کی اجازت دیتی ہے۔
• شق 9: ذیلی پروسیسر کی اجازت دینے کا طریقہ (عام یا مخصوص تحریری اجازت)
• شق 17: گورننگ قانون (ایک رکن ریاست کا قانون ہونا چاہیے جہاں کم از کم ایک پارٹی قائم ہو؛ یا رکن ریاست کا قانون جو تیسرے فریق سے فائدہ اٹھانے والے حقوق کی اجازت دیتا ہو)
• شق 18: فورم کا انتخاب (SCCs پر حکومت کرنے والی رکن ریاست کی مجاز عدالتیں)

کونسی پارٹیاں اپنی مرضی کے مطابق کر سکتی ہیں:

• کم از کم سے زیادہ اضافی حفاظتی اقدامات (EDPB کی طرف سے حوصلہ افزائی)
• کاروبار کے لیے مخصوص انیکس مواد (پروسیسنگ کی تفصیل، ڈیٹا کے زمرے، تکنیکی اقدامات)
• سب پروسیسر کی اجازت دینے کا طریقہ (عام یا مخصوص)
• منزل والے ملک میں ڈیٹا کے مضامین کے ازالے کا طریقہ کار

UK IDTAs

UK سے منتقلی کے لیے (EU نہیں)، ICO کا انٹرنیشنل ڈیٹا ٹرانسفر ایگریمنٹ (IDTA) یا IDTA ضمیمہ EU SCCs کا استعمال کریں۔ انہوں نے 21 ستمبر 2022 تک (پہلے سے موجود EU SCC معاہدوں کے لیے 21 مارچ 2024 تک توسیع کے ساتھ) UK کی منتقلی کے لیے EU SCCs کو تبدیل کر دیا۔

---

ٹرانسفر امپیکٹ اسیسمنٹس (TIAs)

Schrems II کے بعد، EDPB نے SCC کی بنیاد پر منتقلی کے لیے لازمی TIA کی ضرورت کے ساتھ منتقلی پر سفارشات 01/2020 شائع کیں۔ TIA ایک دستاویزی تجزیہ ہے جس کا اندازہ لگایا جاتا ہے کہ آیا منزل والے ملک کا قانونی فریم ورک منتقل شدہ ڈیٹا کے مؤثر تحفظ کو روکتا ہے۔

TIA کے اقدامات (EDPB کی سفارشات 01/2020)

مرحلہ 1 — اپنے ٹرانسفرز کو جانیں: تمام ٹرانسفرز کا نقشہ بنائیں، بشمول پروسیسرز اور سب پروسیسرز کے ذریعے آگے کی منتقلی۔

مرحلہ 2 — استعمال شدہ منتقلی کے ٹولز کی تصدیق کریں: تصدیق کریں کہ کون سا ٹرانسفر میکانزم لاگو ہوتا ہے (SCC ماڈیول، مناسبیت، وغیرہ)۔

مرحلہ 3 — تیسرے ملک کے قانون کا جائزہ لیں: اس بات کا جائزہ لیں کہ آیا منزل والے ملک کا قانون SCCs کی تاثیر میں رکاوٹ ہے۔ متعلقہ عوامل:

• کیا ملک حکومت کو ذاتی ڈیٹا تک رسائی کی اجازت دیتا ہے جو ضروری اور متناسب ہے؟
• اگر حقوق کی خلاف ورزی ہوتی ہے تو کیا یورپی یونین کے افراد کے لیے موثر قانونی علاج موجود ہیں؟
• کیا ملک کے پاس خود مختار نگران اتھارٹی ہے؟

مرحلہ 4 — ضمنی اقدامات کی نشاندہی کریں اور اپنائیں: اگر TIA مسئلہ والے منزل کے ملک کے قانون کی نشاندہی کرتا ہے، تو ضمنی اقدامات کو نافذ کریں:

تکنیکی اقدامات:

• اینڈ ٹو اینڈ انکرپشن (جہاں درآمد کنندہ کو ڈکرپشن کلید تک رسائی نہیں ہے)
• منتقلی سے پہلے EU کی طرف تخلص
• اسپلٹ/ملٹی پارٹی پروسیسنگ جہاں کسی ایک درآمد کنندہ کو مکمل ڈیٹا تک رسائی حاصل نہیں ہے۔
• زیرو نالج فن تعمیر

معاہدے کے اقدامات:

• شفافیت کی ذمہ داری (درآمد کنندہ برآمد کنندہ کو ڈیٹا افشاء کرنے کے لیے کسی بھی قانونی طور پر پابند درخواست کے بارے میں مطلع کرتا ہے)
• درآمد کنندہ ڈیٹا افشاء کرنے کی درخواستوں کو چیلنج کرتا ہے جہاں قانونی طور پر ممکن ہو۔
• کم از کم ضروری پر عملدرآمد ڈیٹا کی کمی

تنظیمی اقدامات:

• داخلی پالیسیاں جو حکومت کی رسائی کو محدود کرتی ہیں۔
• قانون نافذ کرنے والی درخواستوں کو سنبھالنے کے لیے مناسب تکنیکی عملہ

مرحلہ 5 — رسمی طریقہ کار کے اقدامات کریں: مکمل SCCs، اپ ڈیٹ ریکارڈ، دستاویز TIA۔

مرحلہ 6 — مناسب وقفوں پر دوبارہ جائزہ لیں: TIAs ایک بار کی مشقیں نہیں ہیں — دوبارہ اندازہ کریں جب: منزل کے ملک کے قانون میں تبدیلی، SCCs میں ترمیم کی جائے، EDPB یا قومی DPAs سے اہم نئی رہنمائی سامنے آئے۔

TIA ملک کے لیے مخصوص تحفظات

---

پابند کارپوریٹ رولز (BCRs)

BCRs قانونی طور پر ایک قابل EU نگران اتھارٹی کے ذریعہ منظور شدہ انٹرا گروپ ڈیٹا پروٹیکشن قوانین کا پابند ہیں۔ وہ منتقلی کا سب سے مضبوط طریقہ کار ہیں لیکن اس پر عمل درآمد کے لیے سب سے زیادہ پیچیدہ بھی۔

BCRs کا احاطہ:

• کنٹرولر BCRs: ایک کارپوریٹ گروپ کے اندر انٹرا گروپ ٹرانسفر کی اجازت دیں جہاں گروپ کے تمام ممبران کنٹرولرز کے طور پر کام کرتے ہیں۔
• پروسیسر BCRs: پروسیسرز (بشمول انٹرا گروپ سروس کمپنیوں) کو EU کنٹرولرز سے ڈیٹا وصول کرنے اور اس پر کارروائی کرنے کی اجازت دیں

BCR فوائد:

• ایک بار منظور ہونے کے بعد، کورڈ انٹرا گروپ فلو کے لیے فی ٹرانسفر میکانزم کی ضرورت نہیں ہے۔
• تعمیل کے عزم کی اعلیٰ ترین سطح کو ظاہر کرتا ہے۔
• کچھ DPAs BCR رکھنے والے گروپوں کو زیادہ قابل اعتماد سمجھتے ہیں۔

BCR کے تقاضے (آرٹیکل 47 GDPR اور EDPB رہنما خطوط):

• گروپ کے تمام ممبران پر پابند اور تیسرے فریق کے مستفید ہونے والوں کے طور پر ڈیٹا کے مضامین کے ذریعے نافذ کیا جا سکتا ہے۔
• واضح طور پر گروپ کا ڈھانچہ اور گروپ ممبران کی وضاحت کریں۔
• گروپ کے اندر تمام منتقلی اور منتقلی کے سیٹ کا احاطہ کریں۔
• اس میں شامل ہونا ضروری ہے: ڈیٹا پروسیسنگ کے مقاصد، ڈیٹا کیٹیگریز، وصول کنندگان، اسٹوریج کی مدت، غیر EU گروپ کے اراکین کے لیے معلومات
• ڈیٹا کے موضوع کے حقوق کی وضاحت کریں بشمول ان کا استعمال کیسے کریں۔
• تعمیل کی تصدیق شامل کریں (آڈٹ، تربیت)
• تبدیلیوں کے لیے رپورٹنگ کا طریقہ کار
• DPAs کے ساتھ تعاون کا طریقہ کار

BCR عمل: لیڈ سپروائزری اتھارٹی (DPA جہاں کمپنی کا EU ہیڈ کوارٹر واقع ہے) کو درخواست دیں۔ لیڈ DPA دیگر EU DPAs کے ساتھ باہمی شناخت کا طریقہ کار چلاتا ہے۔ ٹائم لائن: عام طور پر درخواست سے منظوری تک 2-3 سال۔ درخواست کے لیے وسیع دستاویزات درکار ہیں۔

منظور شدہ BCR ہولڈرز: 100 سے زیادہ کثیر القومی گروپوں کے پاس EU کمیشن سے منظور شدہ BCRs ہیں جن میں IBM، میریٹ، BCG، ارنسٹ اینڈ ینگ، جانسن اینڈ جانسن شامل ہیں۔

---

غیر یورپی یونین کنٹری ٹرانسفر پابندیاں

EU سے باہر کے بہت سے ممالک اب اپنی آؤٹ باؤنڈ ڈیٹا کی منتقلی پر پابندیاں لگاتے ہیں۔ یہ کثیر القومی تنظیموں کے لیے دو طرفہ تعمیل کی پیچیدگی پیدا کرتا ہے۔

چائنا پی آئی پی ایل

CAC سیکورٹی اسسمنٹ کی ضرورت ہے: CIIOs؛ سالانہ 100,000+ افراد کے ڈیٹا کی منتقلی۔ کم حجم کی منتقلی کے لیے معیاری معاہدے (EU SCCs پر ماڈل لیکن چین کے لیے مخصوص)۔ انٹرا گروپ ٹرانسفر کے لیے سرٹیفیکیشن میکانزم۔ (مکمل تفصیل کے لیے چائنا پی آئی پی ایل کے لیے وقف گائیڈ دیکھیں۔)

سعودی عرب PDPL

زیادہ تر آؤٹ باؤنڈ منتقلی کے لیے SDAIA کی منظوری یا مناسبیت درکار ہے۔ سیکٹر کے لیے مخصوص لوکلائزیشن (صحت، مالیات) کچھ منتقلیوں کو مکمل طور پر روک سکتی ہے۔ معیاری معاہدہ شقوں کا طریقہ کار SDAIA کے ذریعے تیار کیا جا رہا ہے۔

انڈیا ڈی پی ڈی پی ایکٹ

فہرست کا مثبت نقطہ نظر - تمام ممالک میں منتقلی کی اجازت ہے سوائے ان کے جو خاص طور پر مرکزی حکومت کے نوٹیفکیشن کے ذریعہ محدود ہیں۔ سیکٹر مخصوص لوکلائزیشن (آر بی آئی، ہیلتھ) آزادانہ طور پر لاگو ہوتا رہتا ہے۔

برازیل LGPD

ANPD کی مناسبیت کے فیصلے یا معاہدہ کے تحفظات درکار ہیں۔ ANPD معیاری معاہدہ شق کے سانچوں کو تیار کر رہا ہے۔ واضح رضامندی متبادل طریقہ کار کے طور پر دستیاب ہے۔

روس

وفاقی قانون نمبر 149-FZ اور وفاقی قانون نمبر 152-FZ کے مطابق روسی شہریوں کے ذاتی ڈیٹا کو ابتدائی طور پر روس کے اندر جمع کرنے اور اس پر کارروائی کرنے کی ضرورت ہے۔ روسی لوکلائزیشن کے بعد ہی سرحد پار منتقلی کی اجازت ہے۔ عملی طور پر، پابندیاں اور ٹیکنالوجی کی پابندیاں روس سے ڈیٹا کی منتقلی کو انتہائی پیچیدہ بنا دیتی ہیں۔

---

کراس بارڈر ٹرانسفر کمپلائنس چیک لسٹ

• تمام سرحد پار ڈیٹا کی منتقلی میپڈ (کنٹرولر، پروسیسر، سب پروسیسر کا بہاؤ)
• منتقلی کا طریقہ کار ہر بہاؤ کے لیے مقرر کیا گیا ہے (کافی، SCCs، BCRs، توہین)
• EU کی مناسب منزلوں کی تصدیق کی گئی (US وصول کنندگان کے لیے DPF سرٹیفیکیشن چیک کیا گیا)
• EU SCCs کا انتخاب کیا گیا: ہر ٹرانسفر ریلیشن شپ کے لیے درست ماڈیول
• SCC ملحقہ مکمل: ڈیٹا کی تفصیل، تکنیکی/تنظیمی اقدامات
• SCC کی بنیاد پر منتقلی کے لیے منتقلی کے اثرات کا جائزہ لیا گیا۔
• ضمنی اقدامات نافذ کیے گئے جہاں TIA مسائل کی نشاندہی کرتا ہے۔
• UK IDTA یا Addendum UK سے منتقلی کے لیے استعمال کیا جاتا ہے (EU SCCs نہیں)
• BCR درخواست جمع کرائی گئی اگر انٹرا گروپ پیمانے پر منتقلی ہو۔
• سب پروسیسر ایس سی سی چینز لاگو کی گئیں (ماڈیول 3 یا ذیلی پروسیسرز کی کنٹرولر کی منظوری)
• غیر EU آؤٹ باؤنڈ منتقلی کی پابندیوں کا اندازہ لگایا گیا (PIPL, PDPL, DPDP, LGPD)
• ریگولیٹڈ سیکٹرز کے لیے ڈیٹا لوکلائزیشن کی ضروریات کا جائزہ لیا گیا۔
• TIA کی دوبارہ تشخیص کا شیڈول قائم ہو گیا۔
• منتقلی کے طریقہ کار کی عکاسی کرنے کے لیے پروسیسنگ سرگرمیوں کے ریکارڈ کو اپ ڈیٹ کیا گیا ہے۔
• DPA نوٹیفکیشن کے تقاضوں کا تعین توہین کے تحت منتقلی کے لیے کیا گیا۔

---

اکثر پوچھے گئے سوالات

کیا ہم موجودہ معاہدوں کے لیے پرانے EU SCCs (2021 سے پہلے) استعمال کر سکتے ہیں؟

نہیں۔ پرانے EU SCCs کو 2021 SCCs سے تبدیل کرنے کی آخری تاریخ 27 دسمبر 2022 تھی۔ پرانی EU SCCs اب درست نہیں ہیں۔ اگر آپ کے پاس ابھی بھی پرانے SCCs کا حوالہ دینے والے معاہدے ہیں (فیصلوں 2001/497/EC، 2004/915/EC، یا 2010/87/EU کے تحت جاری کیے گئے ہیں)، تو ان معاہدوں کو 2021 SCCs میں اپ ڈیٹ کیا جانا چاہیے۔ کسی بھی نئے معاہدوں کو 2021 SCCs کا استعمال کرنا چاہیے۔ پرانے SCCs پر انحصار جاری رکھنا آپ کی تنظیم کو نافذ کرنے والی کارروائی کے سامنے لاتا ہے۔

کیا ہمیں ہر ڈیٹا ٹرانسفر کے لیے SCC کی ضرورت ہے، یا صرف ایک مجموعی معاہدہ؟

SCCs کو ڈیٹا ایکسپورٹر اور ڈیٹا امپورٹر کے ہر جوڑے کے درمیان انجام دیا جانا چاہیے۔ اگر آپ کی کمپنی (EU پر مبنی) 10 مختلف کلاؤڈ وینڈرز کا استعمال کرتی ہے ہر ایک ذاتی ڈیٹا وصول کرتا ہے، تو آپ کو 10 علیحدہ SCC معاہدوں کی ضرورت ہے۔ ایک واحد SCC معاہدے کے اندر، آپ ڈیٹا کے متعدد زمروں، متعدد ڈیٹا مضامین، اور متعدد مقاصد کا احاطہ کر سکتے ہیں — لیکن ہر دو طرفہ تعلقات کے لیے اس کے اپنے طے شدہ معاہدے کی ضرورت ہوتی ہے۔ بہت سے وینڈرز والی بڑی تنظیموں کے لیے، SCC انوینٹری اور تجدید ٹریکنگ سسٹم کو برقرار رکھنا ضروری ہے۔

EU-US ڈیٹا پرائیویسی فریم ورک کیا ہے اور ہم اسے کیسے استعمال کرتے ہیں؟

EU-US ڈیٹا پرائیویسی فریم ورک (DPF) ایک مناسب طریقہ کار ہے جسے یورپی کمیشن نے 10 جولائی 2023 کو اختیار کیا تھا، جو سگنلز انٹیلی جنس کے لیے رازداری کے تحفظات کو مضبوط بنانے کے لیے US کے ایگزیکٹو آرڈر 14086 کے بعد تھا۔ یہ ذاتی ڈیٹا کو EU سے تصدیق شدہ امریکی تنظیموں کو SCCs یا TIAs کے بغیر بہنے کی اجازت دیتا ہے۔ DPF استعمال کرنے کے لیے: (1) امریکی وصول کنندہ کو امریکی محکمہ تجارت سے خود تصدیق کرنی ہوگی۔ (2) dataprivacyframework.gov پر تصدیق کی تصدیق کریں۔ (3) اگر تصدیق شدہ ہے، EU→US اس تنظیم کو منتقل کرنے کے لیے کسی اضافی طریقہ کار کی ضرورت نہیں ہے۔ DPF کو قانونی طور پر چیلنج کیا جا رہا ہے (Schrems III) — SCC بیک اپ دستاویزات کو ہنگامی طور پر برقرار رکھیں۔

TIA کے سب سے عام نتائج کیا ہیں جو مسائل پیدا کرتے ہیں؟

TIA کی سب سے عام پریشانی کے نتائج میں شامل ہیں: (1) وسیع سرکاری نگرانی تک رسائی — خاص طور پر امریکی سیکشن 702 FISA اور دوسرے ممالک میں مساوی حکام جو عدالتی نگرانی کے بغیر بلک جمع کرنے کی اجازت دیتے ہیں۔ (2) قومی سلامتی کے قوانین جو رازداری کے تحفظات کو زیر کرتے ہیں — آمرانہ ریاستوں میں عام ہیں۔ (3) یورپی یونین کے افراد کے لیے موثر قانونی علاج کا فقدان — جہاں عدالتیں آزاد نہیں ہیں یا یورپی یونین کے افراد کی کوئی حیثیت نہیں ہے۔ (4) پروسیسرز پر عائد ڈیٹا تک رسائی کی ذمہ داریاں — جیسے، CIIOs کے لیے CSL/PIPL کے تحت چین کی ذمہ داریاں۔ جہاں TIA مسائل کی نشاندہی کرتا ہے، وہاں تکنیکی اقدامات (انکرپشن، تخلص) کو عام طور پر مخصوص خطرے سے نمٹنے کے لیے لاگو کیا جاتا ہے — لیکن حقیقت میں شناخت شدہ رسائی کو روکنا چاہیے، نہ کہ صرف دعویٰ کرنا۔

کیا آرٹیکل 49 کے تحت توہین معمول کی منتقلی کے لیے کام کرتی ہے؟

نہیں۔ واضح رضامندی (تضحیک 49(1)(a)) معمول کی منتقلی کے لیے خاص طور پر پریشانی کا باعث ہے: رضامندی مخصوص ہونی چاہیے (منزل ملک کا نام دینا اور منتقلی کے خطرات کی وضاحت کرنا)، آزادانہ طور پر دی گئی (جو ملازمت یا ضروری خدمات کے سیاق و سباق میں مشکل ہو سکتی ہے)، اور ہر منتقلی سے پہلے واضح طور پر حاصل کی جائے۔ منظم، جاری ڈیٹا کے بہاؤ کے لیے — جیسے کلاؤڈ سروسز، HR سسٹمز، یا CRM سسٹمز — توہین مناسب نہیں ہے۔ معمول کی منتقلی کے لیے SCCs، BCRs، یا مناسب طریقہ کار استعمال کریں۔

ہم ذیلی پروسیسر ڈیٹا کی منتقلی کو کیسے ہینڈل کرتے ہیں؟

ذیلی پروسیسر کی منتقلی کو مناسب منتقلی کے طریقہ کار کے ذریعے احاطہ کیا جانا چاہیے۔ EU SCCs ماڈیول 2 (کنٹرولر سے پروسیسر) کے تحت، پروسیسر کو صرف مناسب ممالک میں یا SCCs کے تحت واقع ذیلی پروسیسرز کو شامل کرنا چاہیے۔ ماڈیول 3 (پروسیسر سے پروسیسر) ذیلی پروسیسر تعلقات کا احاطہ کرتا ہے۔ کنٹرولر کو ذیلی پروسیسرز کے بارے میں مطلع اور منظوری دینا ضروری ہے (یا تو خاص طور پر یا نوٹیفکیشن کے ساتھ زمرہ کے لحاظ سے)۔ ذیلی پروسیسرز کو پروسیسر کی طرح ڈیٹا کے تحفظ کی ذمہ داریوں کا پابند ہونا چاہیے — عام طور پر ماڈیول 3 SCCs کو شامل کرنے والے ذیلی پروسیسنگ معاہدے کے ذریعے۔ بہت سی تنظیمیں ذیلی پروسیسر کی فہرست کو برقرار رکھتی ہیں اور رازداری کے نوٹس کے ذریعے ڈیٹا کے مضامین کو مطلع کرتی ہیں۔

---

اگلے اقدامات

سرحد پار ڈیٹا کی منتقلی کی تعمیل ایک مسلسل انتظامی سرگرمی ہے — ایک وقتی منصوبہ نہیں۔ چونکہ نئے ملک کے قوانین آؤٹ باؤنڈ منتقلی پر پابندی لگاتے ہیں، مناسبیت کے فیصلے قانونی چیلنج کے تحت آتے ہیں، اور آپ کے وینڈر کا منظر نامہ تیار ہوتا ہے، آپ کی منتقلی کے طریقہ کار کی انوینٹری کو برقرار رکھنا چاہیے۔

ECOSIRE تنظیموں کو ٹرانسفر میکانزم کے فریم ورک کو ڈیزائن کرنے، ٹرانسفر امپیکٹ اسسمنٹ کرنے، اور بین الاقوامی ڈیٹا آپریشنز کے لیے تکنیکی حفاظتی اقدامات کو نافذ کرنے میں مدد کرتا ہے۔ ہمارا تجربہ EU GDPR، UK GDPR، PIPL، LGPD، اور ابھرتے ہوئے قومی فریم ورک پر محیط ہے۔

شروع کریں: ECOSIRE سروسز

ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی مشورے پر مشتمل نہیں ہے۔ سرحد پار ڈیٹا کی منتقلی کے تقاضے پیچیدہ، دائرہ اختیار سے متعلق ہیں، اور عدالتی فیصلوں اور ریگولیٹری رہنمائی کے ذریعے تیزی سے تبدیلی کے تابع ہیں۔ اپنی تنظیم کی منتقلی کے بہاؤ سے متعلق مخصوص مشورے کے لیے اہل قانونی مشیر سے مشورہ کریں۔