ہماری Compliance & Regulation سیریز کا حصہ
مکمل گائیڈ پڑھیںERP سسٹمز کے لیے GDPR تعمیل: مکمل نفاذ گائیڈ
انٹرپرائز ریسورس پلاننگ سسٹم جدید کاروباری آپریشنز کے مرکز میں بیٹھے ہیں — اور آپ کے GDPR تعمیل چیلنج کے مرکز میں۔ ERP پلیٹ فارمز HR، پے رول، CRM، پروکیورمنٹ، اور فنانس ماڈیولز میں بیک وقت ذاتی ڈیٹا کی وسیع مقدار پر کارروائی کرتے ہیں، جس سے وہ EU ڈیٹا پروٹیکشن ریگولیٹرز کے لیے سب سے زیادہ خطرہ والی ٹیکنالوجی کا اثاثہ بنتا ہے۔ ایک واحد غلط ترتیب شدہ ERP ماڈیول لاکھوں ریکارڈز کو بے نقاب کر سکتا ہے اور €20 ملین یا عالمی سالانہ ٹرن اوور کا 4% تک جرمانہ کر سکتا ہے۔
یہ گائیڈ آپ کو GDPR تعمیل کی ہر پرت سے گزرتا ہے جیسا کہ یہ ERP سسٹمز پر لاگو ہوتا ہے: قانونی بنیادیں، ڈیٹا میپنگ، DPIAs، ڈیٹا سبجیکٹ کے حقوق، خلاف ورزی کا ردعمل، اور وینڈر مینجمنٹ۔ چاہے آپ Odoo، SAP، Oracle NetSuite، یا Microsoft Dynamics چلا رہے ہوں، اصول یکساں طور پر لاگو ہوتے ہیں۔
اہم ٹیک ویز
- ERP سسٹمز GDPR کے نفاذ کی کارروائیوں میں بنیادی اہداف ہیں - کسی بھی چیز سے پہلے ہر ذاتی ڈیٹا کے بہاؤ کا نقشہ بنائیں
- آپ کو اپنے ERP میں پروسیسنگ کی ہر سرگرمی کے لیے ایک دستاویزی قانونی بنیاد کی ضرورت ہے۔
- ڈیٹا کو کم سے کم کرنا ERP کنفیگریشن پر لاگو ہوتا ہے: ماڈیولز اور فیلڈز کو غیر فعال کریں جن کی آپ کو ضرورت نہیں ہے
- نئے ERP ماڈیولز کی تعیناتی سے پہلے DPIAs لازمی ہیں جو حساس ڈیٹا کو پیمانے پر پروسیس کرتے ہیں۔
- ڈیٹا کے موضوع کے حقوق (رسائی، مٹانے، پورٹیبلٹی) آپ کے ERP میں تکنیکی طور پر قابل عمل ہونے چاہئیں
- ہر ERP وینڈر اور کلاؤڈ ہوسٹ کے ساتھ پروسیسر کے معاہدے ضروری ہیں۔
- برقرار رکھنے کے نظام الاوقات کو ERP میں خودکار حذف یا گمنامی کے قواعد کے طور پر ترتیب دیا جانا چاہیے۔
- ایک دستاویزی خلاف ورزی کے ردعمل کا طریقہ کار جو آپ کے ERP کا حوالہ دیتا ہے، کوئی واقعہ پیش آنے سے پہلے موجود ہونا چاہیے۔
ERP ڈیٹا کے لیے GDPR کے دائرہ کار کو سمجھنا
جنرل ڈیٹا پروٹیکشن ریگولیشن (EU) 2016/679 نے 25 مئی 2018 سے لاگو کیا ہے اور کسی بھی تنظیم کا احاطہ کرتا ہے — قطع نظر اس کے کہ وہ کہاں قائم ہے — جو EU/EEA کے رہائشیوں کے ذاتی ڈیٹا پر کارروائی کرتی ہے۔ ERP مقاصد کے لیے، "ذاتی ڈیٹا" زیادہ تر IT ٹیموں کے فرض سے زیادہ وسیع ہے۔
ERP ذاتی ڈیٹا کے زمرے میں عام طور پر شامل ہیں:
- ملازمین کا ڈیٹا: نام، قومی شناختی نمبر، تنخواہ، بینک کی تفصیلات، طبی ریکارڈ (بیماری کی چھٹی کے لیے)، بائیو میٹرک حاضری کا ڈیٹا، کارکردگی کے جائزے، تادیبی ریکارڈ
- کسٹمر ڈیٹا: نام، پتے، ای میل، فون، خریداری کی تاریخ، کریڈٹ کی شرائط، مواصلات کی ترجیحات
- سپلائر کا رابطہ ڈیٹا: نام، ای میل، انفرادی سپلائر کے نمائندوں کا فون
- CRM ماڈیولز میں ممکنہ/لیڈ ڈیٹا: براؤزنگ رویہ، ڈیل اسٹیج، کمیونیکیشن لاگز
- پے رول ڈیٹا: ٹیکس کوڈز، پنشن کی شراکتیں، خالص تنخواہ — اکثر تھرڈ پارٹی پے رول پروسیسرز کے پاس جاتی ہیں
GDPR صحت کے ڈیٹا، بائیو میٹرک ڈیٹا، نسلی یا نسلی اصل، سیاسی آراء، اور مجرمانہ سزاؤں سے متعلق ڈیٹا کو خصوصی زمرہ جات کے طور پر درجہ بندی کرتا ہے جس کے لیے واضح رضامندی یا آرٹیکل 9 کی دوسری شرط کی ضرورت ہوتی ہے۔ ERP سسٹمز میں بہت سے HR ماڈیولز معمول کے مطابق بیماری کی چھٹی کی وجوہات اور معذوری کی معلومات کو محفوظ کرتے ہیں، جس سے ذمہ داریوں میں اضافہ ہوتا ہے۔
علاقائی دائرہ کار: اگر آپ پاکستانی، متحدہ عرب امارات، یا امریکی کمپنی ہیں جو ERP چلا رہی ہے جو EU صارفین کے آرڈرز پر کارروائی کرتی ہے، یا EU کے رہائشی عملے کو ملازمت دیتی ہے تو GDPR آپ پر لاگو ہوتا ہے۔ آرٹیکل 3 اس غیر ملکی درخواست کو واضح کرتا ہے۔
مرحلہ 1 — ڈیٹا میپنگ آپ کے ERP
اس سے پہلے کہ آپ تعمیل کر سکیں، آپ کو یہ جاننا چاہیے کہ آپ کے ERP میں کون سا ذاتی ڈیٹا موجود ہے، یہ کہاں سے بہتا ہے، اور کون اسے چھوتا ہے۔ یہ آپ کا پروسیسنگ سرگرمیوں کا ریکارڈ (RoPA) ہے، جو آرٹیکل 30 کے تحت 250+ ملازمین والی تنظیموں کے لیے درکار ہے یا جن کی پروسیسنگ سے ڈیٹا کے مضامین کے حقوق کو خطرہ لاحق ہے۔
اپنے ERP ڈیٹا کا نقشہ کیسے بنائیں:
- استعمال میں ہر ERP ماڈیول کی فہرست بنائیں (HR، پے رول، CRM، اکاؤنٹنگ، انوینٹری، ہیلپ ڈیسک، مینوفیکچرنگ)
- ہر ماڈیول کے لیے، ذاتی ڈیٹا پر مشتمل ڈیٹا فیلڈز کی گنتی کریں۔
- ڈیٹا کے ذرائع کی شناخت کریں (ویب فارم، درآمدات، API انضمام، دستی اندراج)
- میپ ڈیٹا فلو: انٹری کے بعد ڈیٹا کہاں جاتا ہے؟ (کلاؤڈ سنک، تھرڈ پارٹی پے رول، ای میل مارکیٹنگ ٹولز، رپورٹنگ ڈیش بورڈز، موبائل ایپس)
- دستاویزی ڈیٹا تک رسائی: کون سے کردار، صارفین، اور بیرونی فریق ہر زمرے کو پڑھ یا اس میں ترمیم کر سکتے ہیں
- ریکارڈ برقرار رکھنے کی مدت فی الحال تشکیل شدہ بمقابلہ قانونی طور پر درکار ہے۔
RoPA کم از کم مواد (آرٹیکل 30):
- کنٹرولر کا نام اور رابطے کی تفصیلات
- پروسیسنگ کے مقاصد
- ڈیٹا کے مضامین اور ذاتی ڈیٹا کے زمرے
- وصول کنندگان کے زمرے
- تیسرے ملک کی منتقلی اور حفاظتی اقدامات
- برقرار رکھنے کی مدت
- تکنیکی اور تنظیمی حفاظتی اقدامات کی تفصیل
زیادہ تر جدید ERP سسٹم حسب ضرورت فیلڈز اور لاگز تک رسائی کے بارے میں رپورٹیں تیار کر سکتے ہیں — صرف دستاویزات پر انحصار کرنے کے بجائے اپنے ڈیٹا میپ کو درست کرنے کے لیے ان کا استعمال کریں۔
مرحلہ 2 - ہر پروسیسنگ سرگرمی کے لیے قانونی بنیاد
آرٹیکل 6 جی ڈی پی آر ہر پروسیسنگ سرگرمی کے لیے دستاویزی قانونی بنیاد کی ضرورت ہے۔ ERP سسٹمز کے لیے، سب سے عام قابل اطلاق بنیادیں ہیں:
| پروسیسنگ سرگرمی | عام حلال بنیاد |
|---|---|
| ملازم پے رول پروسیسنگ | قانونی ذمہ داری (روزگار کا قانون) |
| کسٹمر آرڈر کی تکمیل | معاہدہ کی ضرورت |
| امکانات کو مارکیٹنگ ای میلز | رضامندی (آپٹ ان) یا جائز مفادات |
| سپلائر کے رابطہ کا انتظام | جائز مفادات |
| HR کارکردگی کا جائزہ | جائز مفادات یا ملازمت کا معاہدہ |
| مالیاتی رپورٹنگ / آڈٹ | قانونی ذمہ داری |
| صحت/بیمار چھٹی کا ڈیٹا | ملازمت کا قانون + واضح رضامندی یا آرٹیکل 9(2)(b) |
بچنے کے لیے اہم غلطی: بہت سی تنظیمیں ERP ڈیٹا پروسیسنگ کے لیے "جائز مفادات" پر انحصار کرتی ہیں۔ جائز مفادات کے لیے تین حصوں کے ٹیسٹ کی ضرورت ہوتی ہے: مقصد ٹیسٹ (کیا کوئی جائز دلچسپی ہے؟)، ضرورت ٹیسٹ (کیا پروسیسنگ ضروری ہے؟)، اور بیلنسنگ ٹیسٹ (کیا ڈیٹا کے مضامین کی دلچسپیاں آپ کے مفادات کو زیر کرتی ہیں؟)۔ اس ٹیسٹ کو ہر اس سرگرمی کے لیے دستاویز کریں جہاں آپ اسے استعمال کرتے ہیں۔
اگر آپ جرمنی میں کام کرتے ہیں تو نوٹ کریں کہ Bundesdatenschutzgesetz (BDSG) ملازمین کے ڈیٹا پروسیسنگ کے لیے اضافی تقاضے عائد کرتا ہے، بشمول ورکس کونسل کی مشاورتی ذمہ داریاں۔
مرحلہ 3 — ڈیٹا پروٹیکشن امپیکٹ اسیسمنٹس (DPIAs)
آرٹیکل 35 ایک ڈی پی آئی اے کو لازمی قرار دیتا ہے اس سے پہلے کہ آپ کوئی ایسی کارروائی شروع کریں جس کے نتیجے میں افراد کے حقوق کے لیے "زیادہ خطرہ ہو"۔ GDPR محرکات کی فہرست بناتا ہے جس میں منظم نگرانی، خصوصی زمروں کی بڑے پیمانے پر کارروائی، اور اہم اثرات کے ساتھ خودکار فیصلہ سازی شامل ہے۔
جب آپ کے ERP کو DPIA کی ضرورت ہوتی ہے:
- ایک نیا HR ماڈیول تعینات کرنا جو بائیو میٹرک حاضری کے ڈیٹا پر کارروائی کرتا ہے۔
- AI سے چلنے والی کارکردگی کے اسکورنگ یا امیدواروں کی اسکریننگ کو مربوط کرنا
- CRM ڈیٹا پروسیسنگ کو کسی نئے قانونی ادارے یا ملک تک پھیلانا
- کسٹمر کریڈٹ کی حدوں کے لیے خودکار کریڈٹ اسکورنگ شامل کرنا
- ERP ڈیٹا کو نئے کلاؤڈ ہوسٹنگ ماحول میں منتقل کرنا
DPIA کم از کم ڈھانچہ:
- پروسیسنگ اور اس کے مقاصد کی تفصیل
- ضرورت اور تناسب کا اندازہ
- حقوق اور آزادیوں کے خطرات کی نشاندہی کی گئی ہے۔
- خطرات سے نمٹنے کے لیے اقدامات (تکنیکی + تنظیمی)
- ڈی پی او کی رائے (اگر ڈی پی او تعینات کیا گیا ہے)
- سپروائزری اتھارٹی سے مشاورت (اگر تخفیف کے بعد بقایا خطرہ زیادہ رہتا ہے)
DPIAs کو زندہ دستاویزات کے طور پر رکھیں — جب بھی ERP کنفیگریشن یا پروسیسنگ کا دائرہ نمایاں طور پر تبدیل ہوتا ہے تو انہیں اپ ڈیٹ کریں۔
مرحلہ 4 — ڈیٹا سبجیکٹ کے حقوق کا نفاذ
جی ڈی پی آر افراد کو آٹھ حقوق دیتا ہے۔ آپ کا ERP تکنیکی طور پر ان کو قانونی ڈیڈ لائن کے اندر پورا کرنے کے قابل ہونا چاہیے (عام طور پر ایک کیلنڈر مہینہ، پیچیدہ درخواستوں کے لیے تین ماہ تک بڑھایا جا سکتا ہے)۔
** رسائی کا حق (آرٹیکل 15)**: آپ کو ایک ماہ کے اندر تمام ERP ماڈیولز — HR، CRM، ہیلپ ڈیسک ٹکٹس، آرڈر کی تاریخ — میں کسی فرد کے بارے میں رکھا گیا تمام ذاتی ڈیٹا برآمد کرنے کے قابل ہونا چاہیے۔ ERP رپورٹس کو ترتیب دیں یا اسے فعال کرنے کے لیے بلٹ ان ایکسپورٹ فیچر استعمال کریں۔ سبجیکٹ تک رسائی کی درخواست (SAR) موصول ہونے سے پہلے اس کی جانچ کریں۔
مٹانے کا حق (آرٹیکل 17): ERP کو کسی فرد کے ڈیٹا کو حذف کرنے یا گمنامی کی حمایت کرنی چاہیے جہاں کسی بھی قانونی ذمہ داری کو برقرار رکھنے کی ضرورت نہیں ہے۔ یہ ERP سسٹمز میں تکنیکی طور پر پیچیدہ ہے: مالی ریکارڈ کو آڈٹ کے مقاصد کے لیے برقرار رکھا جانا چاہیے، جو مٹانے کی درخواستوں سے متصادم ہے۔ متبادل کے طور پر تخلص کا استعمال کریں - مالی ریکارڈ کے ڈھانچے کو برقرار رکھتے ہوئے شناختی فیلڈز کو ٹوکن سے تبدیل کریں۔
** پورٹیبلٹی کا حق (آرٹیکل 20)**: جہاں پروسیسنگ رضامندی یا معاہدے پر مبنی ہے اور خود کار طریقے سے کی جاتی ہے، آپ کو ایک منظم، عام طور پر استعمال شدہ، مشین کے پڑھنے کے قابل فارمیٹ میں ڈیٹا فراہم کرنا چاہیے (CSV یا JSON قابل قبول ہیں)۔ اس مقصد کے لیے ERP ایکسپورٹ ٹیمپلیٹس کو ترتیب دیں۔
**پابندی کا حق (آرٹیکل 18): آپ کو کسی فرد کے ڈیٹا کی پروسیسنگ کو "منجمد" کرنے کے قابل ہونا چاہیے جب تک کہ کوئی تنازعہ حل ہو جائے۔ اپنے ERP میں ایک جھنڈا لگائیں جو جھنڈے والے ریکارڈز کی خودکار پروسیسنگ کو روکتا ہے۔
** اعتراض کا حق (آرٹیکل 21)**: جہاں پروسیسنگ جائز مفادات پر مبنی ہو یا براہ راست مارکیٹنگ کے لیے، افراد اعتراض کر سکتے ہیں۔ آپ کے CRM کو آپٹ آؤٹ جھنڈوں کو سپورٹ کرنا چاہیے جو فوری طور پر مارکیٹنگ بھیجے جانے اور خودکار پروفائلنگ کو دبا دیتے ہیں۔
مرحلہ 5 — پروسیسر کے معاہدے اور وینڈر مینجمنٹ
ہر وہ کمپنی جو آپ کی طرف سے آپ کی ہدایات کے تحت ذاتی ڈیٹا پر کارروائی کرتی ہے وہ GDPR کے تحت پروسیسر ہے۔ آرٹیکل 28 پروسیسنگ شروع ہونے سے پہلے ہر پروسیسر کے ساتھ تحریری ڈیٹا پروسیسنگ ایگریمنٹ (DPA) کی ضرورت ہے۔
ERP سے متعلقہ پروسیسرز میں عام طور پر شامل ہیں:
- آپ کا ERP وینڈر (اگر کلاؤڈ/ساس استعمال کر رہے ہیں — جیسے، Odoo.com، SAP Cloud، NetSuite)
- کلاؤڈ ہوسٹنگ فراہم کنندہ (AWS، Azure، Google Cloud)
- پے رول بیورو
- ای میل مارکیٹنگ پلیٹ فارم CRM کے ساتھ مربوط ہے۔
- ERP ڈیٹا سے منسلک کاروباری ذہانت/ تجزیاتی ٹولز
- ERP رسائی کے ساتھ آئی ٹی سپورٹ کنٹریکٹرز
DPA کم از کم مواد (آرٹیکل 28(3)):
- صرف دستاویزی کنٹرولر ہدایات پر کارروائی کرنا
- مجاز اہلکاروں پر رازداری کی ذمہ داریاں
- مناسب تکنیکی اور تنظیمی اقدامات کا نفاذ (آرٹیکل 32)
- ذیلی پروسیسر پابندیاں اور اطلاع کی ذمہ داریاں
- ڈیٹا کے موضوع کے حقوق کے ساتھ مدد
- معاہدہ کے اختتام پر ڈیٹا کو حذف کرنا یا واپس کرنا
- آڈٹ کے حقوق
اگر آپ کا ERP وینڈر ڈیٹا کو EU/EEA سے باہر منتقل کرتا ہے (مثال کے طور پر، امریکہ میں مقیم سپورٹ ٹیم یا کلاؤڈ ریجن)، آپ کو ایک درست ٹرانسفر میکانزم کی ضرورت ہے: معیاری معاہدہ کی شقیں (SCCs)، مناسبیت کا فیصلہ، یا کارپوریٹ قوانین کا پابند ہونا۔ EU-US ڈیٹا پرائیویسی فریم ورک (جولائی 2023 کو اپنایا گیا) امریکی منتقلی کے لیے مناسبیت پر مبنی طریقہ کار فراہم کرتا ہے، لیکن اپنے وینڈر کی تصدیق کی حیثیت کی تصدیق کریں۔
مرحلہ 6 — برقرار رکھنے کا نظام الاوقات اور خودکار حذف کرنا
آرٹیکل 5(1)(e) کا تقاضا ہے کہ ذاتی ڈیٹا کو "ایسی شکل میں رکھا جائے جو ضروری سے زیادہ وقت کے لیے ڈیٹا کے مضامین کی شناخت کی اجازت دیتا ہے۔" ERP سسٹمز سالوں میں ڈیٹا اکٹھا کرتے ہیں۔ خودکار نفاذ کے بغیر، برقرار رکھنے کی پالیسیاں بہترین طور پر خواہش مند ہیں۔
عام ERP برقرار رکھنے کے ادوار:
| ڈیٹا کیٹیگری | کم از کم برقراری | زیادہ سے زیادہ برقراری | بنیاد |
|---|---|---|---|
| ملازم پے رول ریکارڈز | 6 سال | 10 سال | ٹیکس/ملازمت کا قانون ملک کے لحاظ سے مختلف ہوتا ہے۔ |
| مالیاتی لین دین کا ریکارڈ | 6-7 سال | 10 سال | اکاؤنٹنگ قانون سازی |
| کسٹمر آرڈر کی تاریخ | معاہدے کی مدت + 6 سال | - | محدود مدت |
| HR بھرتی کا ریکارڈ (ناکام) | 6 ماہ | 1 سال | جائز مفادات |
| مارکیٹنگ کی رضامندی کے ریکارڈز | رضامندی واپس لینے تک + 3 سال | - | تعمیل کا ثبوت |
| لاگز / آڈٹ ٹریلز تک رسائی حاصل کریں | 1 سال | 3 سال | سیکورٹی کی نگرانی |
اپنے ERP شیڈیولر میں خودکار آرکائیو اور ڈیلیٹ کرنے والی جابز کو ترتیب دیں۔ جہاں حذف کرنا ممکن نہ ہو (مثال کے طور پر، مالیاتی لائن آئٹمز)، ذاتی شناخت کنندگان کو ٹوکنز سے بدلنے کے لیے گمنامی کو ترتیب دیں۔
مرحلہ 7 — آرٹیکل 32 کے تحت حفاظتی اقدامات
GDPR کے لیے "مناسب تکنیکی اور تنظیمی اقدامات" کی ضرورت ہوتی ہے جس کی نوعیت، دائرہ کار، سیاق و سباق اور پروسیسنگ کے مقاصد کے علاوہ افراد کو لاحق خطرات کو مدنظر رکھا جائے۔ ERP سسٹمز کے لیے، درج ذیل کو بیس لائن سمجھا جاتا ہے:
تکنیکی اقدامات:
- آرام اور ٹرانزٹ میں خفیہ کاری (تمام API کنکشنز کے لیے TLS 1.2+، ڈیٹا بیس کی خفیہ کاری کے لیے AES-256)
- کم سے کم استحقاق کے اصول کے ساتھ رول پر مبنی رسائی کنٹرول (RBAC)
- تمام ERP ایڈمن اکاؤنٹس کے لیے ملٹی فیکٹر تصدیق
- خودکار سیشن کا ٹائم آؤٹ
- ERP انٹرفیس کی باقاعدہ رسائی کی جانچ
- تمام ڈیٹا تک رسائی اور ترمیم کی آڈٹ لاگنگ
- بے ترتیب سوالات کے لیے ڈیٹا بیس کی سرگرمی کی نگرانی
- آزمائشی بحالی کے طریقہ کار کے ساتھ خودکار بیک اپ
تنظیمی اقدامات:
- تمام ERP صارفین کے لیے GDPR ٹریننگ (کردار سے متعلق، دستاویزی)
- ERP تک رسائی دینے اور منسوخ کرنے کے لیے دستاویزی طریقہ کار
- باقاعدہ رسائی کے جائزے (کم از کم سالانہ)
- پروسیسرز کے لیے فراہم کنندہ کی حفاظت کا جائزہ
- ERP کی خلاف ورزیوں کا احاطہ کرنے والے واقعے کے ردعمل کا منصوبہ
- صاف ڈیسک اور اسکرین لاک پالیسیاں
مرحلہ 8 - ERP واقعات کے لیے خلاف ورزی کا جواب
آرٹیکل 33 کے تحت، ذاتی ڈیٹا کی خلاف ورزیوں سے باخبر ہونے کے 72 گھنٹوں کے اندر مجاز نگران اتھارٹی کو مطلع کیا جانا چاہیے، جب تک کہ خلاف ورزی کے نتیجے میں افراد کے حقوق کو خطرہ نہ ہو۔ آرٹیکل 34 کے تحت، جہاں خلاف ورزی کے نتیجے میں "زیادہ خطرہ ہونے کا امکان ہے"، متاثرہ افراد کو بھی بلا ضرورت تاخیر کے مطلع کیا جانا چاہیے۔
ERP کی خلاف ورزی کے جواب کی چیک لسٹ:
- خلاف ورزی پر مشتمل ہے: سمجھوتہ شدہ اکاؤنٹس کو منسوخ کریں، متاثرہ ERP ماڈیولز کو الگ کریں
- دائرہ کار کا اندازہ کریں: کونسی ڈیٹا کیٹیگریز، کتنے ریکارڈز، کون سے افراد
- خطرے کی تشخیص: نقصان کا امکان اور شدت (مالی نقصان، شناخت کی چوری، امتیازی سلوک)
- اندرونی اضافہ: 24 گھنٹے کے اندر ڈی پی او، قانونی، ایگزیکٹو
- 72 گھنٹوں کے اندر سپروائزری اتھارٹی کی اطلاع (قومی DPA کا آن لائن پورٹل استعمال کریں)
- زیادہ خطرہ ہونے کی صورت میں انفرادی اطلاع (پیشگی ٹیمپلیٹ کا مسودہ)
- ثبوت کا تحفظ: ERP لاگ، رسائی کے ریکارڈ، واقعات کی ٹائم لائن
- بنیادی وجہ کا تجزیہ اور تدارک
- واقعے کے بعد DPIA اپ ڈیٹ
ERP ٹیموں کے لیے GDPR تعمیل چیک لسٹ
اپنی موجودہ کرنسی کا اندازہ لگانے کے لیے اس چیک لسٹ کا استعمال کریں:
- RoPA دستاویزی اور تمام ERP ماڈیولز کا احاطہ کرتا ہے۔
- ہر پروسیسنگ سرگرمی کے لئے قانونی بنیاد دستاویزی ہے۔
- DPAs نے ERP وینڈر، کلاؤڈ ہوسٹ، اور تمام مربوط پروسیسرز کے ساتھ دستخط کیے ہیں۔
- تمام غیر EEA ڈیٹا کے بہاؤ کے لیے منتقلی کا طریقہ کار
- DPIAs ہائی رسک پروسیسنگ سرگرمیوں کے لیے مکمل کیے گئے ہیں۔
- ڈیٹا کے موضوع کے حقوق کے کام کے بہاؤ کا تجربہ کیا گیا (SAR، مٹانے، پورٹیبلٹی، پابندی)
- برقرار رکھنے کے نظام الاوقات کو ERP میں خودکار قواعد کے طور پر ترتیب دیا گیا ہے۔
- رسائی کنٹرول کا جائزہ گزشتہ 12 مہینوں میں مکمل ہوا۔
- MFA تمام ERP ایڈمن اور مراعات یافتہ اکاؤنٹس کے لیے نافذ ہے۔
- خلاف ورزی کی اطلاع کے طریقہ کار کو دستاویزی اور تجربہ کیا گیا ہے۔
- رازداری کے نوٹسز کو ERP پروسیسنگ کی سرگرمیوں کی عکاسی کرنے کے لیے اپ ڈیٹ کیا گیا ہے۔
- عملے کی GDPR تربیت مکمل اور دستاویزی
سزائیں اور نفاذ کی حقیقت
EU کے نگران حکام نے 2018 اور 2025 کے درمیان GDPR جرمانے میں € 4.2 بلین جاری کیے ہیں۔ ہائی پروفائل ERP سے متعلقہ نفاذ کے اقدامات میں شامل ہیں:
- میٹا (آئرلینڈ، 2023): غیر قانونی EU-US ڈیٹا کی منتقلی کے لیے €1.2 بلین — یہ ظاہر کرتا ہے کہ منتقلی کے طریقہ کار کی ناکامی تمام ٹیکنالوجی کے اسٹیک کو متاثر کرتی ہے۔
- **Amazon (Luxembourg, 2021): €746 ملین پرسنلائزیشن سسٹمز میں رضامندی کے ناکافی میکانزم کے لیے
- WhatsApp (آئرلینڈ، 2021): ڈیٹا پروسیسنگ کے انکشافات میں شفافیت کی ناکامیوں کے لیے €225 ملین
ERP مخصوص نفاذ میں اضافہ ہو رہا ہے کیونکہ ریگولیٹرز تکنیکی مہارت تیار کرتے ہیں۔ جرمن DPA (BfDI) اور فرانسیسی CNIL دونوں نے ERP مخصوص رہنمائی شائع کی ہے۔ آرٹیکل 83(5) (انتہائی سنگین خلاف ورزیاں) کے تحت جرمانے €20 ملین یا عالمی سالانہ کاروبار کے 4% تک پہنچ سکتے ہیں، جو بھی زیادہ ہو۔
اکثر پوچھے گئے سوالات
اگر ہم EU سے باہر رہتے ہیں تو کیا GDPR ہمارے ERP پر لاگو ہوتا ہے؟
ہاں، اگر آپ کا ERP EU/EEA کے رہائشیوں کے ذاتی ڈیٹا پر کارروائی کرتا ہے — چاہے وہ بطور کسٹمر، ملازمین، یا صارفین — GDPR لاگو ہوتا ہے اس سے قطع نظر کہ آپ کی کمپنی کہاں شامل ہے۔ آرٹیکل 3(2) خاص طور پر یورپی یونین کے رہائشیوں کو سامان یا خدمات پیش کرنے والی یا ان کے رویے کی نگرانی کرنے والی غیر EU تنظیموں تک GDPR کی توسیع کرتا ہے۔ آپ کو آرٹیکل 27 کے تحت EU کا نمائندہ مقرر کرنے کی بھی ضرورت پڑ سکتی ہے۔
کیا ہم ملازمین کا ڈیٹا اپنے ERP سے حذف کر سکتے ہیں جب وہ چلے جائیں؟
فوری طور پر نہیں اور مکمل طور پر نہیں۔ زیادہ تر ملازمت اور ٹیکس کی قانون سازی کے لیے پے رول، ٹیکس، اور ملازمت کے ریکارڈ کو ملازمت ختم ہونے کے بعد 6-10 سال تک برقرار رکھنے کی ضرورت ہوتی ہے (ملک کے لحاظ سے مختلف ہوتی ہے)۔ آپ مالی ریکارڈ کے ڈھانچے کو برقرار رکھتے ہوئے، GDPR کے ڈیٹا کو کم سے کم کرنے کے اصول اور اپنی قانونی برقراری کی ذمہ داریوں دونوں کو پورا کرتے ہوئے ذاتی شناخت کنندگان کو گمنام کر سکتے ہیں۔
ERP سیاق و سباق میں ڈیٹا کنٹرولر اور ڈیٹا پروسیسر میں کیا فرق ہے؟
آپ (کاروبار) کنٹرولر ہیں - آپ پروسیسنگ کے مقاصد اور ذرائع کا فیصلہ کرتے ہیں۔ آپ کا ERP وینڈر، اگر آپ کی ہدایات کے تحت آپ کی طرف سے کلاؤڈ/ساس حل فراہم کر رہا ہے اور ڈیٹا پر کارروائی کر رہا ہے، تو ایک پروسیسر ہے۔ اگر ERP وینڈر آپ کے ڈیٹا کو اپنے مقاصد کے لیے استعمال کرتا ہے (مثلاً، پروڈکٹ کی بہتری کے تجزیات)، وہ ان سرگرمیوں کے لیے ایک کنٹرولر بن جاتے ہیں، جن کے لیے علیحدہ قانونی بنیاد اور شفافیت کی ذمہ داریوں کی ضرورت ہوتی ہے۔
ہم ڈیٹا سبجیکٹ تک رسائی کی درخواستوں کو کیسے ہینڈل کرتے ہیں جو متعدد ERP ماڈیولز پر محیط ہیں؟
SARs کو مربوط کرنے کے لیے رابطہ کا ایک مرکزی مقام (عام طور پر آپ کی DPO یا پرائیویسی ٹیم) مقرر کریں۔ ایک ERP رپورٹ بنائیں یا کسی نامزد فرد کے لیے تمام ماڈیولز میں ڈیٹا نکالنے کے لیے بلٹ ان ایکسپورٹ فعالیت کا استعمال کریں۔ ظاہر کرنے سے پہلے درخواست کنندہ کی شناخت کی تصدیق کریں۔ ڈیٹا کو خارج کریں جو فریق ثالث کے حقوق کی خلاف ورزی کرے گا۔ ایک کیلنڈر مہینے کے اندر جواب دیں؛ اگر آپ پہلے مہینے کے اندر فرد کو مطلع کرتے ہیں تو آپ پیچیدہ یا متعدد درخواستوں کے لیے تین ماہ تک بڑھا سکتے ہیں۔
کیا ہمیں DPO کی ضرورت ہے؟
اگر آپ کی تنظیم ایک عوامی اتھارٹی ہے، افراد کی بڑے پیمانے پر منظم نگرانی کرتا ہے، یا بڑے پیمانے پر ڈیٹا کے خصوصی زمروں پر کارروائی کرتا ہے تو ڈیٹا پروٹیکشن آفیسر لازمی ہے۔ HR یا صحت کی دیکھ بھال کے شعبوں میں بہت سی ERP-بھاری کمپنیاں اہل ہیں۔ اگر لازمی نہ ہو تو بھی ڈی پی او کی تقرری بہترین عمل سمجھا جاتا ہے۔ ڈی پی او کو ڈیٹا پروٹیکشن قانون اور پریکٹس کا ماہرانہ علم ہونا چاہیے، اور اسے ان کے کاموں کو انجام دینے کے لیے برخاست یا سزا نہیں دی جا سکتی۔
ہمیں اپنے US کی میزبانی شدہ ERP کے لیے کون سا ٹرانسفر میکانزم استعمال کرنا چاہیے؟
اگر آپ کا ERP وینڈر امریکہ میں مقیم ہے اور EU-US ڈیٹا پرائیویسی فریم ورک (DPF) کے تحت تصدیق شدہ ہے، تو آپ جولائی 2023 میں اختیار کیے گئے مناسب فیصلے پر بھروسہ کر سکتے ہیں۔ اگر وہ DPF سے تصدیق شدہ نہیں ہیں، تو آپ کو معیاری معاہدہ کی شقیں (SCCs) استعمال کرنی چاہئیں — 2021 EU SCCs موجودہ معیاری ہیں۔ آپ کے ڈیٹا پر امریکی قانون کے اثرات کا جائزہ لینے والے ٹرانسفر امپیکٹ اسسمنٹ (TIA) کے ساتھ ہمیشہ SCCs کو پورا کریں۔ کچھ دکاندار EU کے زیر اہتمام تعیناتی کے اختیارات پیش کرتے ہیں جو سرحد پار منتقلی سے مکمل طور پر گریز کرتے ہیں۔
ہمیں اپنے RoPA کو کتنی بار اپ ڈیٹ کرنا چاہیے؟
RoPA ایک زندہ دستاویز ہونی چاہیے جس کا کم از کم سالانہ جائزہ لیا جائے اور جب بھی آپ: ERP ماڈیولز کو شامل کریں یا ہٹائیں، نئے تھرڈ پارٹی ٹولز کو انٹیگریٹ کریں، نئی مارکیٹوں یا قانونی اداروں میں توسیع کریں، پروسیسنگ کے مقاصد کو تبدیل کریں، یا ڈیٹا کے نئے زمروں کی نشاندہی کریں جن پر کارروائی ہو رہی ہے۔ بہت سے DPAs تنظیموں سے یہ ظاہر کرنے کی توقع کرتے ہیں کہ ان کا RoPA موجودہ اور درست ہے - اس کے بعد سے اہم ERP تبدیلیوں کے ساتھ دو سالہ RoPA جانچ پڑتال کرے گا۔
اگلے اقدامات
ERP سسٹمز کے لیے GDPR کی تعمیل ایک وقتی منصوبہ نہیں ہے - یہ ایک جاری پروگرام ہے جس میں تکنیکی ترتیب، قانونی دستاویزات، عملے کی تربیت، اور باقاعدہ جائزہ کی ضرورت ہوتی ہے۔ پیچیدگی کا پیمانہ ERP ماڈیولز، انضمام اور دائرہ اختیار کی تعداد کے ساتھ ہے جس میں آپ کام کرتے ہیں۔
ECOSIRE کی ٹیم کو GDPR کے مطابق ERP کی تعیناتیوں کو نافذ کرنے کا گہرا تجربہ ہے، خاص طور پر Odoo 19 Enterprise کے ساتھ۔ ہم آپ کی موجودہ ERP کنفیگریشن کا GDPR گیپ اسسمنٹ کر سکتے ہیں، آپ کا RoPA بنا سکتے ہیں، خود کار طریقے سے برقرار رکھنے اور گمنامی کے قوانین کو ترتیب دے سکتے ہیں، اور ڈیٹا کے موضوع کے حقوق کے ورک فلو کو قائم کر سکتے ہیں۔
ان تنظیموں کے لیے جن کو ERP اور اکاؤنٹنگ دونوں کی تعمیل کی ضرورت ہوتی ہے، ہماری مربوط Odoo نفاذ سروس پہلے دن سے GDPR بہ ڈیزائن کنفیگریشن کا احاطہ کرتی ہے۔
شروع کریں: ECOSIRE Odoo Services | اکاؤنٹنگ اور تعمیل کی خدمات
ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی مشورے پر مشتمل نہیں ہے۔ جی ڈی پی آر کی تعمیل کے تقاضے دائرہ اختیار، صنعت اور پروسیسنگ سیاق و سباق کے لحاظ سے مختلف ہوتے ہیں۔ اپنی تنظیم کے لیے مخصوص مشورے کے لیے مستند قانونی مشیر سے رجوع کریں۔
تحریر
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
متعلقہ مضامین
blog.posts.back-market-odoo-integration-refurbished.title
blog.posts.back-market-odoo-integration-refurbished.description
blog.posts.best-erp-ecommerce-business-2026.title
blog.posts.best-erp-ecommerce-business-2026.description
blog.posts.best-erp-software-2026-comprehensive-guide.title
blog.posts.best-erp-software-2026-comprehensive-guide.description
Compliance & Regulation سے مزید
blog.posts.cybersecurity-ecommerce-business-guide-2026.title
blog.posts.cybersecurity-ecommerce-business-guide-2026.description
blog.posts.erp-for-chemical-industry.title
blog.posts.erp-for-chemical-industry.description
blog.posts.erp-for-import-export-trading.title
blog.posts.erp-for-import-export-trading.description
blog.posts.sustainability-esg-reporting-erp-guide.title
blog.posts.sustainability-esg-reporting-erp-guide.description
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.