ہماری Compliance & Regulation سیریز کا حصہ
مکمل گائیڈ پڑھیںانڈیا ڈی پی ڈی پی ایکٹ 2023: ڈیجیٹل پرسنل ڈیٹا پروٹیکشن کمپلائنس
انڈیا کا ڈیجیٹل پرسنل ڈیٹا پروٹیکشن ایکٹ 2023 (DPDP ایکٹ)، جو 11 اگست 2023 کو نافذ ہوا، پرائیویسی ریگولیشن کے لیے ہندوستان کے نقطہ نظر میں ایک تاریخی تبدیلی کی نمائندگی کرتا ہے۔ تقریباً ایک دہائی کے قانون سازی پر غور و خوض کے بعد — جس میں جسٹس سری کرشنا کمیٹی کی رپورٹ (2017)، متعدد مسودہ پرسنل ڈیٹا پروٹیکشن بلز، اور سپریم کورٹ کا ایک فیصلہ جس میں بنیادی حق کے طور پر پرائیویسی کی توثیق کی گئی ہے (جسٹس K.S. پٹاسوامی بمقابلہ یونین آف انڈیا، 2017) — اب بھارت کے پاس ڈیٹا کا ایک فریم ہے جو قابل تحفظ ہے۔
ڈی پی ڈی پی ایکٹ میں "ڈیٹا فیڈوشری،" "ڈیٹا پرنسپل،" اور "سنسنٹ مینیجر" جیسے تصورات متعارف کرائے گئے ہیں، جو ڈیٹا پروٹیکشن بورڈ آف انڈیا (DPBI) کو انفورسمنٹ اتھارٹی کے طور پر قائم کرتا ہے، اور ہر خلاف ورزی پر ₹250 کروڑ ($30 ملین USD) تک کے مالی جرمانے مقرر کرتا ہے۔ یہ ایکٹ اب نافذ العمل ہے، اور اس کے نفاذ کے قوانین کو حتمی شکل دینے اور 2025-2026 میں مطلع کیے جانے کی امید ہے۔
اہم ٹیک ویز
- DPDP ایکٹ 2023 ہندوستان میں ڈیجیٹل پرسنل ڈیٹا پروسیسنگ پر لاگو ہوتا ہے اور ہندوستانی افراد کو پیش کی جانے والی خدمات کے لیے بیرونی طور پر
- رضامندی بنیادی قانونی بنیاد ہے، جو مخصوص مقاصد (روزگار، قانونی کارروائی، مفاد عامہ) کے لیے "جائز استعمال" کے ذریعے ضمیمہ ہے۔
- "اہم ڈیٹا فیڈوشریز" کو DPIA کی ضروریات اور ایک آزاد ڈیٹا آڈیٹر کی تقرری سمیت زیادہ ذمہ داریوں کا سامنا کرنا پڑتا ہے۔
- ڈیٹا پروٹیکشن بورڈ آف انڈیا (DPBI) انفورسمنٹ اتھارٹی ہے جس کے پاس تحقیقات، فیصلہ کرنے اور جرمانے عائد کرنے کے اختیارات ہیں۔
- ہر خلاف ورزی پر زیادہ سے زیادہ جرمانہ ₹250 کروڑ ($30 ملین) ہے۔ متعدد خلاف ورزیوں کے لیے جرمانے جمع ہوتے ہیں۔
- تمام ممالک کو سرحد پار ڈیٹا کی منتقلی کی اجازت ہے سوائے ان ممالک کے جو خاص طور پر مرکزی حکومت کے نوٹیفکیشن کے ذریعہ محدود ہیں
- ڈیٹا پرنسپلز (افراد) کو رسائی، تصحیح، مٹانے، نامزدگی، اور شکایت کے ازالے کے حقوق حاصل ہیں
- لاگو کرنے والے قواعد (ابھی تک حتمی شکل دی جانی ہے) کلیدی آپریشنل تقاضوں کی وضاحت کرے گی بشمول رضامندی کے نوٹس کی شکل، برقرار رکھنے کی مدت، اور اہم ڈیٹا فیڈوسیری معیار
DPDP ایکٹ 2023: فریم ورک کا جائزہ
کلیدی اصطلاحات
ڈی پی ڈی پی ایکٹ جی ڈی پی آر سے متاثر فریم ورک سے الگ اپنی اصطلاحات متعارف کراتا ہے:
- ذاتی ڈیٹا: کسی فرد کے بارے میں کوئی ڈیٹا جو اس طرح کے ڈیٹا سے یا اس کے حوالے سے قابل شناخت ہو
- ڈیجیٹل ذاتی ڈیٹا: ڈیجیٹل شکل میں ذاتی ڈیٹا، یا غیر ڈیجیٹل ذاتی ڈیٹا بعد میں ڈیجیٹائز کیا جاتا ہے۔
- ڈیٹا پرنسپل: وہ فرد جس سے ذاتی ڈیٹا کا تعلق ہے (جی ڈی پی آر کے "ڈیٹا سبجیکٹ" کے مساوی)
- ڈیٹا فیڈوشری: کوئی بھی شخص جو اکیلے یا دوسروں کے ساتھ مل کر پروسیسنگ کے مقصد اور ذرائع کا تعین کرتا ہے (جی ڈی پی آر کے "ڈیٹا کنٹرولر" کے برابر)
- ڈیٹا پروسیسر: ایک ایسا شخص جو ڈیٹا فیڈوشری کی جانب سے ذاتی ڈیٹا پر کارروائی کرتا ہے۔
- اہم ڈیٹا فیڈوشری (SDF): ڈیٹا کے حجم/حساسیت، ڈیٹا پرنسپلز کو خطرہ، قومی سلامتی کے تحفظات، اور دیگر معیارات کی بنیاد پر مرکزی حکومت کی طرف سے نامزد کردہ ڈیٹا فیڈوشری
دائرہ کار
DPDP ایکٹ ان پر لاگو ہوتا ہے:
- ہندوستان کے اندر ڈیجیٹل ذاتی ڈیٹا کی پروسیسنگ
- ہندوستان سے باہر ڈیجیٹل ذاتی ڈیٹا کی پروسیسنگ - اگر یہ ہندوستان میں ڈیٹا پرنسپل کو سامان یا خدمات پیش کرنے کے مقصد کے لیے ہے۔
استثنیٰ: ذاتی یا گھریلو مقاصد کے لیے پروسیسنگ؛ ذاتی ڈیٹا جو ڈیٹا پرنسپل نے خود عوامی طور پر دستیاب کیا ہے یا جس کے لیے ڈیٹا پرنسپل کو قانونی طور پر پبلک کرنا ضروری ہے۔
فاؤنڈیشن کے طور پر رضامندی۔
متعدد مساوی قانونی بنیادوں کے ساتھ زیادہ تر عالمی ڈیٹا پروٹیکشن قوانین کے برعکس، ڈی پی ڈی پی ایکٹ رضامندی کو بنیادی قانونی بنیاد بناتا ہے، جو مخصوص شمار شدہ زمروں کے لیے "جائز استعمال" کے ذریعے ضمیمہ کرتا ہے۔ یہ ایک بنیادی ڈیزائن کا انتخاب ہے جس میں اہم عملی مضمرات ہیں۔
رضامندی کے تقاضے
DPDP ایکٹ کے تحت رضامندی ہونی چاہیے:
- مفت: کوئی جبر یا شرط نہیں۔
- مخصوص: ہر بیان کردہ مقصد کے لیے
- باخبر: واضح رضامندی کے نوٹس کی بنیاد پر
- غیر مشروط: ضرورت سے زیادہ ڈیٹا فراہم کرنے پر متفق نہیں۔
- غیر مبہم: واضح مثبت کارروائی
** رضامندی کے نوٹس کے تقاضے** (سیکشن 5 اور 7): رضامندی حاصل کرنے سے پہلے، ڈیٹا فیڈوشری کو ایک نوٹس فراہم کرنا چاہیے جس میں شامل ہیں:
- ذاتی ڈیٹا کی تفصیل جس پر کارروائی کی جائے گی۔
- پروسیسنگ کا مقصد
- وہ طریقہ جس میں ڈیٹا پرنسپل حقوق کا استعمال کر سکتا ہے۔
- وہ طریقہ جس میں شکایات کو ڈیٹا فیڈیوشری کے ساتھ اٹھایا جا سکتا ہے۔
- وہ طریقہ جس میں ڈی پی بی آئی کو شکایت کی جا سکتی ہے۔
نوٹسز انگریزی اور آئین کے آٹھویں شیڈول میں بیان کردہ زبانوں میں ہونے چاہئیں (22 سرکاری زبانیں) — صارفین کا سامنا کرنے والے کاروبار کے لیے ایک اہم آپریشنل ضرورت۔
** رضامندی کے منتظمین**: DPDP ایکٹ رضامندی کے منتظمین کو متعارف کرایا ہے — رجسٹرڈ ادارے جو ڈیٹا پرنسپل کی جانب سے رضامندی کا انتظام کرنے والے بیچوان کے طور پر کام کرتے ہیں۔ ڈیٹا پرنسپلز ایک ہی رضامندی مینیجر کے ذریعے متعدد ڈیٹا فیڈوشریز میں اپنی رضامندی کا نظم کر سکتے ہیں۔ یہ ایک اختراعی طریقہ کار ہے جو ہندوستان کے فریم ورک کے لیے منفرد ہے۔
جائز استعمال (سیکشن 7)
مخصوص "جائز استعمال" کے لیے رضامندی کے بغیر کارروائی کی اجازت ہے:
- ریاست کے افعال: سبسڈی، فوائد، خدمات، سرٹیفکیٹس، لائسنس فراہم کرنے کے لیے ریاستی آلات کے ذریعے کارروائی
- میڈیکل ایمرجنسی: طبی ایمرجنسی کا علاج جس سے جان کو خطرہ ہو یا صحت کے لیے فوری خطرہ ہو۔
- وبا/آفت: وبائی امراض، وبائی امراض یا آفات کا ردعمل
- روزگار کے مقاصد: ملازمت کے سلسلے میں فرائض کی انجام دہی یا قانون کے تحت حقوق کا استعمال کرنے کے لیے کارروائی (بشمول ملازمت سے پہلے کی جانچ)
- عدالتی احکامات: عدالتی احکامات کے لیے ضروری کارروائی
- تحقیق اور اعدادوشمار: دھوکہ دہی کی روک تھام/پتہ لگانے، کریڈٹ اسکورنگ، قانونی تحقیق، شماریاتی مقاصد کے لیے پراسیسنگ — مقررہ معیارات کے اندر
- منصفانہ اور معقول مقاصد: مرکزی حکومت کے ذریعہ منصفانہ اور معقول مقاصد کے لیے کارروائی
ڈیٹا کے بنیادی حقوق
DPDP ایکٹ ڈیٹا پرنسپل کو درج ذیل حقوق دیتا ہے (سیکشن 11-14):
| دائیں | تفصیل | میکانزم |
|---|---|---|
| رسائی کا حق | ذاتی ڈیٹا پر کارروائی کا خلاصہ حاصل کریں، تمام ڈیٹا فیڈیوسیئرز کی شناخت حاصل کریں جن کے ساتھ ڈیٹا شیئر کیا گیا ہے، دیگر معلومات جیسا کہ تجویز کیا گیا ہے۔ ڈیٹا فیڈشری سے درخواست | |
| تصحیح اور مٹانے کا حق | درست غلط ڈیٹا؛ ڈیٹا کو مٹائیں جو اب اصل مقصد کو پورا نہیں کر رہا ہے یا اگر رضامندی واپس لے لی گئی ہے | ڈیٹا فیڈشری سے درخواست |
| شکایات کے ازالے کا حق | شکایات کے ازالے کے آسانی سے دستیاب ذرائع؛ مقررہ مدت کے اندر جواب | شکایت افسر رابطہ |
| نامزدگی کا حق | موت یا نااہلی کی صورت میں حقوق استعمال کرنے کے لیے کسی شخص کو نامزد کریں۔ نامزدگی کا عمل |
قابل ذکر غیر موجودگی: DPDP ایکٹ میں پورٹیبلٹی، پابندی، یا خودکار فیصلہ سازی پر اعتراض کے واضح حقوق GDPR کی طرح شامل نہیں ہیں۔ مرکزی حکومت کے نافذ کرنے والے قواعد ان میں سے کچھ کو مقررہ معیارات کے ذریعے حل کر سکتے ہیں۔
رسپانس ٹائم لائن: ایکٹ ٹائم لائنز کی وضاحت نہیں کرتا ہے - یہ توقع کی جاتی ہے کہ وہ قوانین کو نافذ کرنے میں تجویز کیے جائیں گے۔ اعداد و شمار کے ذمہ داروں کو ایک مقررہ مدت کے اندر شکایات کو تسلیم کرنا چاہیے اور انہیں کسی اور مقررہ مدت کے اندر حل کرنا چاہیے۔
ڈیٹا فیڈوشری کی ذمہ داریاں
عمومی ذمہ داریاں (سیکشن 8)
تمام اعداد و شمار پر اعتماد کرنے والوں کو:
- ڈیٹا کی درستگی کو برقرار رکھیں (مکملیت، درستگی، مقصد کے ساتھ مستقل مزاجی)
- ڈیٹا سیکورٹی کے تحفظات کو لاگو کریں بشمول خفیہ کاری، رسائی کے کنٹرول، اور واقعہ کا ردعمل
- جب مقصد پورا ہو جائے یا رضامندی واپس لے لی جائے تو ذاتی ڈیٹا کو حذف کریں (جب تک کہ قانونی ذمہ داری کو برقرار رکھنے کی ضرورت نہ ہو)
- ڈیٹا پرنسپل شکایات کے لیے شکایتی افسر (یا افسر/میکنزم) رکھیں
- والدین کی تصدیق کے بغیر بچوں کے ڈیٹا پر کارروائی نہ کریں (18 سال سے کم عمر بچوں کے لیے)
- بچوں کے رویے کو ٹریک یا نگرانی نہ کریں یا بچوں پر اشتہارات کو نشانہ بنائیں
بچوں کے ڈیٹا کا تحفظ
DPDP ایکٹ میں بچوں کے ڈیٹا (18 سال سے کم افراد) کے لیے سخت شرائط ہیں:
- پروسیسنگ کے لیے قابل تصدیق والدین کی رضامندی درکار ہے۔
- بچوں کے لیے ٹریکنگ، رویے کی نگرانی، اور ٹارگٹڈ اشتہارات پر پابندی
- بچوں کے ڈیٹا کی کوئی پروسیسنگ ان کی صحت کے لیے نقصان دہ نہیں۔
لاگو کرنے والے قوانین قابل تصدیق والدین کی رضامندی کے لیے تکنیکی طریقہ کار کی وضاحت کریں گے — یہ صارفین کی ایپس کے لیے ایک اہم UX اور تکنیکی چیلنج ہے۔
اہم ڈیٹا فیڈوشریز (SDFs)
مرکزی حکومت ان عوامل کی بنیاد پر بعض ڈیٹا فیڈوشریز کو اہم ڈیٹا فیڈوشریز کے طور پر نامزد کرے گی جن میں شامل ہیں:
- پروسیس شدہ ذاتی ڈیٹا کا حجم اور حساسیت
- ڈیٹا پرنسپل کے حقوق کا خطرہ
- ہندوستان کی خودمختاری اور سالمیت پر ممکنہ اثر
- انتخابی جمہوریت کو خطرہ
- ریاست کی حفاظت
- پبلک آرڈر
SDFs کو اضافی ذمہ داریوں کا سامنا ہے (سیکشن 10):
- ڈیٹا پروٹیکشن امپیکٹ اسیسمنٹ (DPIA): ہائی رسک پروسیسنگ سرگرمیوں کے لیے DPIAs کا انعقاد اور دستاویز کریں
- ڈیٹا آڈٹ: ایک آزاد ڈیٹا آڈیٹر کے ذریعہ وقفہ وقفہ سے آڈٹ
- ڈیٹا پروٹیکشن آفیسر (ڈی پی او): ہندوستان میں مقیم ایک ڈی پی او کو ایک کلیدی انتظامی عملے کے طور پر مقرر کریں
- دیگر اقدامات: جیسا کہ مرکزی حکومت نے تجویز کیا ہے۔
SDF کے عہدہ کے معیار کو ابھی حتمی شکل نہیں دی گئی ہے — نافذ کرنے والے قوانین حدوں کی وضاحت کریں گے۔ بین الاقوامی نظیروں کی بنیاد پر، لاکھوں ہندوستانی صارفین، سوشل میڈیا پلیٹ فارمز، اور بڑے ای کامرس کاروبار والی ٹیکنالوجی کمپنیاں ممکنہ طور پر امیدوار ہیں۔
سرحد پار ڈیٹا کی منتقلی
ڈی پی ڈی پی ایکٹ کا سیکشن 16 ایک قابل ذکر نقطہ نظر اختیار کرتا ہے: ذاتی ڈیٹا کو ہندوستان سے باہر کسی بھی ملک میں منتقل کیا جا سکتا ہے سوائے ان کے جو خاص طور پر مرکزی حکومت کے نوٹیفکیشن کے ذریعہ محدود ہیں۔
یہ ایک مثبت فہرست/منفی پابندی کا طریقہ ہے — پہلے سے طے شدہ یہ ہے کہ منتقلی کی اجازت ہے، لیکن حکومت قومی سلامتی، اسٹریٹجک، یا دیگر وجوہات کی بنا پر مخصوص ممالک میں منتقلی کو محدود کر سکتی ہے۔
عملی مضمرات:
- کاروبار فی منتقلی کی تشخیص کے بغیر بین الاقوامی سطح پر ڈیٹا منتقل کر سکتے ہیں (ملکی پابندیوں کے ساتھ)
- مرکزی حکومت پابندی والے ممالک کی فہرست شائع کرے گی - کاروباری اداروں کو پابندیوں کی نگرانی اور ان پر عمل درآمد کرنا چاہیے۔
- سیکٹر کی مخصوص لوکلائزیشن کی ضروریات (RBI کے تحت مالیاتی ڈیٹا، NMC/منسٹری آف ہیلتھ کے تحت ہیلتھ ڈیٹا) DPDP ایکٹ کے ساتھ ساتھ لاگو ہوتے رہتے ہیں۔
موجودہ صورتحال: 2026 کے اوائل تک، ملک میں پابندی کی کوئی اطلاع جاری نہیں کی گئی ہے۔ نافذ کرنے والے قواعد ممنوعہ فہرست کو شائع کرنے اور اپ ڈیٹ کرنے کا فریم ورک قائم کریں گے۔
ڈیٹا پروٹیکشن بورڈ آف انڈیا (DPBI)
سیکشن 18 DPBI کو ایک آزاد عدالتی ادارہ کے طور پر قائم کرتا ہے جس کے اختیارات ہیں:
- ڈیٹا پرنسپلز سے شکایات وصول کریں اور ان کی تحقیقات کریں۔
- مبینہ خلاف ورزیوں کی تحقیقات کریں۔
- مالی جرمانے سمیت احکامات پاس کریں۔
- ڈیٹا فیڈوشیریز اور پروسیسرز کو ہدایات جاری کریں۔
- پالیسی کارروائی کے لیے معاملات کو مرکزی حکومت سے رجوع کریں۔
DPBI کا ڈھانچہ: مرکزی حکومت کی طرف سے مقرر کردہ چیئرپرسن کی سربراہی؛ اراکین میں ٹیکنالوجی، قانون اور عوامی پالیسی کے ماہرین شامل ہیں۔ DPBI ابھی تک تشکیل نہیں دیا گیا ہے - اس کی آپریشنل تیاری کا انحصار قوانین پر عمل درآمد اور حکومتی تقرریوں پر ہوگا۔
تفتیش کا عمل: ڈیٹا کے پرنسپل ڈیٹا فیڈوشری کے اندرونی شکایات کے طریقہ کار کو ختم کرنے کے بعد DPBI سے شکایت کر سکتے ہیں۔ DPBI تفتیش کر سکتا ہے، دستاویزات طلب کر سکتا ہے، گواہوں کو طلب کر سکتا ہے، اور وجہ بتاؤ نوٹس جاری کر سکتا ہے۔ اداروں کو جرمانے کے حکم سے پہلے سننے کا حق ہے۔
جرمانے
DPDP ایکٹ جرمانے کا شیڈول قائم کرتا ہے (DPBI کا شیڈول):
| خلاف ورزی | زیادہ سے زیادہ سزا |
|---|---|
| حفاظتی تحفظات کو نافذ کرنے میں ناکامی جس کی وجہ سے خلاف ورزی ہوتی ہے | ₹250 کروڑ (~$30M USD) |
| DPBI اور ڈیٹا پرنسپلز کو خلاف ورزی کے بارے میں مطلع کرنے میں ناکامی | ₹200 کروڑ (~$24M USD) |
| اضافی SDF ذمہ داریوں کی عدم تعمیل | ₹150 کروڑ (~$18M USD) |
| بچوں کے ڈیٹا کے تحفظ کی عدم تعمیل | ₹200 کروڑ (~$24M USD) |
| ڈی پی بی آئی کے احکامات کی عدم تعمیل | ₹150 کروڑ (~$18M USD) |
| دیگر خلاف ورزیاں | ₹50 کروڑ (~$6M USD) |
جرمانے فی خلاف ورزی ہیں اور یہ مجموعی ہو سکتے ہیں — ایک ڈیٹا کی خلاف ورزی جس میں سیکورٹی کی ناکامی اور نوٹیفکیشن کی ناکامی شامل ہے نظریاتی طور پر کل ₹450 کروڑ کو حاصل کر سکتی ہے۔
خلاف ورزی کی اطلاع
سیکشن 8 کے مطابق ڈیٹا فیڈیوشریز کو کسی بھی ذاتی ڈیٹا کی خلاف ورزی کے بارے میں ڈی پی بی آئی (اور مقررہ ذرائع سے ڈیٹا پرنسپلز) کو مطلع کرنے کی ضرورت ہے۔ GDPR کی رسک پر مبنی حد کے برعکس (صرف "زیادہ خطرہ ہونے کا امکان ہے")، DPDP ایکٹ ڈیجیٹل ذاتی ڈیٹا کو متاثر کرنے والی تمام خلاف ورزیوں کی اطلاع کی ضرورت محسوس کرتا ہے۔ لاگو کرنے والے قواعد کی وضاحت کریں گے:
- اطلاع کے لیے ٹائم لائن
- نوٹیفکیشن کا فارم اور مواد
- متاثرہ ڈیٹا پرنسپل کو مطلع کرنے کا طریقہ
مخصوص ٹائم لائنز کی غیر موجودگی میں، بہترین عمل یہ ہے کہ DPBI نوٹیفکیشن کے لیے GDPR کے 72-گھنٹے کے معیار کے ساتھ ہم آہنگ کیا جائے اور اعلی خطرے کی خلاف ورزیوں کے لیے بغیر کسی تاخیر کے ڈیٹا پرنسپل کو مطلع کیا جائے۔
DPDP ایکٹ کے نفاذ کی ٹائم لائن
اگست 2023: ڈی پی ڈی پی ایکٹ نافذ ہوا اور اسے صدارتی منظوری مل گئی۔
2024: قوانین کے نفاذ پر حکومتی مشاورت؛ اسٹیک ہولڈر کی رائے کی مدت
2025–2026: نافذ کرنے والے قواعد جن کی مطلع ہونے کی توقع ہے، اس کی وضاحت کرتے ہوئے:
- رضامندی کے نوٹس کی شکل اور زبان کے تقاضے
- ڈیٹا برقرار رکھنے کی مدت
- SDF عہدہ کے معیار اور حد
- قابل تصدیق والدین کی رضامندی کا طریقہ کار
- رضامندی مینیجر رجسٹریشن کی ضروریات
- ڈی پی بی آئی کا آئین اور آپریشنل طریقہ کار
- ڈیٹا آڈیٹر کی اہلیت کی ضروریات
موجودہ صورت حال: ایکٹ نافذ ہے لیکن بہت سے آپریشنل تقاضے قوانین کو نافذ کرنے پر منحصر ہیں۔ کاروباری اداروں کو قواعد کی پیشرفت کی نگرانی کرتے ہوئے GDPR کی سطح کی سختی کو سمجھتے ہوئے تعمیل کے پروگرام ڈیزائن کرنے چاہئیں۔
DPDP ایکٹ کی تعمیل چیک لسٹ
- قابل اطلاق تجزیہ مکمل ہوا (انڈیا آپریشنز، ہندوستانی صارفین)
- تمام پروسیسنگ سرگرمیوں کے لیے ذاتی ڈیٹا کی انوینٹری مکمل
- رضامندی کے نوٹس نے سیکشن 5 اور 7 کی ضروریات کو پورا کیا ہے۔
- رضامندی کا طریقہ کار نافذ کیا گیا (اثبات، مخصوص، غیر مشروط)
- قابل اطلاق ہندوستانی زبانوں میں رضامندی کے نوٹس کا ترجمہ منصوبہ بنایا گیا ہے۔
- جائز استعمال کا تجزیہ بغیر رضامندی کے پروسیسنگ کے لیے مکمل کیا گیا۔
- بچوں کے ڈیٹا کی شناخت مکمل ہو گئی — والدین کی رضامندی کا طریقہ کار منصوبہ بنایا گیا ہے۔
- ڈیٹا کے بنیادی حقوق کے طریقہ کار کو دستاویز کیا گیا (رسائی، اصلاح، مٹانے، نامزدگی)
- شکایت افسر نامزد اور رابطہ کی معلومات شائع کی گئی۔
- حفاظتی تحفظات نافذ کیے گئے (انکرپشن، رسائی کنٹرول، واقعہ کا جواب)
- خلاف ورزی کی اطلاع کے طریقہ کار کو دستاویز کیا گیا (DPBI رپورٹنگ کے تقاضوں کے ساتھ سیدھ میں کریں)
- ڈیٹا کو برقرار رکھنے اور حذف کرنے کا طریقہ کار دستاویزی اور خودکار
- سرحد پار منتقلی کی تشخیص - محدود ملک کی فہرست کی نگرانی کا منصوبہ بنایا گیا ہے۔
- SDF عہدہ کی تشخیص — اگر اہل ہونے کا امکان ہے تو اضافی ذمہ داریوں کے لیے تیار ہوں۔
- DPIA عمل ہائی رسک پروسیسنگ کے لیے قائم کیا گیا ہے۔
- DPDP ایکٹ کی ذمہ داریوں پر ملازمین کی تربیت مکمل ہو گئی۔
اکثر پوچھے گئے سوالات
کیا DPDP ایکٹ 2023 مکمل طور پر نافذ ہے؟
DPDP ایکٹ نافذ کیا گیا تھا اور اگست 2023 میں اسے صدارتی منظوری حاصل ہوئی تھی۔ تاہم، بہت سی دفعات کا انحصار قواعد پر عمل درآمد پر ہے (جسے ایکٹ کے تحت قواعد کہا جاتا ہے) جو آپریشنل ضروریات کی وضاحت کرتے ہیں۔ 2026 کے اوائل تک، نافذ کرنے والے قوانین کو مکمل طور پر مطلع نہیں کیا گیا ہے۔ یہ ایکٹ خود نافذ ہے — یعنی اس کے اصول اور کچھ ذمہ داریاں لاگو ہوتی ہیں — لیکن تعمیل کے تفصیلی تقاضے (رضامندی نوٹس کی شکل، SDF کے معیار، DPBI طریقہ کار) قوانین کا انتظار کر رہے ہیں۔ کاروباری اداروں کو اب تعمیل کا فریم ورک تیار کرنا چاہئے اور قواعد شائع ہوتے ہی انہیں اپ ڈیٹ کرنا چاہئے۔
DPDP ایکٹ GDPR سے کیسے مختلف ہے؟
کئی اہم اختلافات: (1) DPDP ایکٹ رضامندی کو بنیادی بنیاد کے طور پر استعمال کرتا ہے، محدود "جائز استعمال" کے ساتھ — GDPR کے چھ مساوی قانونی بنیادیں ہیں۔ (2) ڈی پی ڈی پی ایکٹ پہلے سے طے شدہ طور پر سرحد پار منتقلی کی اجازت دیتا ہے (حکومت کی طرف سے پابندی والے ممالک کی رعایت کے ساتھ) — جی ڈی پی آر منتقلی پر پابندی لگاتا ہے جب تک کہ مناسب تحفظ موجود نہ ہو۔ (3) DPDP ایکٹ میں ڈیٹا پورٹیبلٹی کے واضح حقوق یا پروسیسنگ میں پابندی شامل نہیں ہے۔ (4) DPDP ایکٹ رضامندی کے منتظمین کو متعارف کراتا ہے - ایک منفرد اختراع؛ (5) ڈی پی ڈی پی ایکٹ کا جرمانے کا ڈھانچہ (زیادہ سے زیادہ 250 کروڑ) بڑی ملٹی نیشنل کمپنیوں کے لیے جی ڈی پی آر کی ممکنہ حد سے کم ہے۔ (6) ڈی پی ڈی پی ایکٹ کا اطلاق صرف ڈیجیٹل ذاتی ڈیٹا پر ہوتا ہے — جی ڈی پی آر تمام ذاتی ڈیٹا پر لاگو ہوتا ہے قطع نظر اس کے فارمیٹ کے۔
ممکنہ طور پر اہم ڈیٹا فیڈوشری کسے نامزد کیا جائے گا؟
سیکشن 10 کے معیارات تجویز کرتے ہیں کہ SDFs میں شامل ہوں گے: ہندوستان میں کام کرنے والے بڑے سوشل میڈیا پلیٹ فارمز، کافی ہندوستانی صارف اڈوں والی بڑی ای کامرس کمپنیاں، بڑے پیمانے پر حساس ڈیٹا (صحت، مالی) پر کارروائی کرنے والی کمپنیاں، اہم پروسیسنگ والیوم والی ٹیکنالوجی کمپنیاں۔ GDPR کی یکساں "بڑے پیمانے پر منظم نگرانی" کی حد اور ہندوستان کے سائز (1.4 بلین آبادی) کی بنیاد پر، لاکھوں ہندوستانی صارفین کے ساتھ کمپنیوں کو، خاص طور پر کنزیومر انٹرنیٹ، فنٹیک، اور ہیلتھ ٹیک سیکٹر میں، کو SDF کے امکانات کا اندازہ لگانا چاہیے اور زیادہ ذمہ داریوں کے لیے تیاری کرنی چاہیے۔
رضامندی مینیجر کی شرائط کیا ہیں؟
رضامندی کے مینیجرز DPBI کے ساتھ رجسٹرڈ ادارے ہیں جو انٹرآپریبل پلیٹ فارمز کو برقرار رکھتے ہیں جن کے ذریعے ڈیٹا پرنسپل متعدد ڈیٹا فیڈوشریز کو رضامندی دے سکتے ہیں، ان کا نظم کر سکتے ہیں، جائزہ لے سکتے ہیں اور واپس لے سکتے ہیں۔ رضامندی مینیجر کے ذریعے حاصل کردہ رضامندی کی بنیاد پر کارروائی کے لیے ڈیٹا کے ذمہ دار ذمہ دار ہیں۔ یہ ڈیجیٹل ماحولیاتی نظام میں افراد کو ایک مرکزی نظریہ اور ان کی رضامندی کا کنٹرول دینے کے لیے ڈیزائن کیا گیا ہے۔ رضامندی کے منتظمین کے لیے رجسٹریشن کے تقاضے اور تکنیکی معیار قوانین کو نافذ کرنے میں بیان کیے جائیں گے۔
ڈی پی ڈی پی ایکٹ کا اطلاق ملازمین کے ڈیٹا پر کیسے ہوتا ہے؟
ملازمت کے اعداد و شمار کو "جائز استعمال" کے پروویژن (سیکشن 7(f)) کے ذریعے حل کیا جاتا ہے - ملازمت کے سلسلے میں قانون کے تحت فرائض کی انجام دہی یا حقوق کا استعمال کرنے کے مقصد کے لیے پروسیسنگ (بشمول ملازمت سے پہلے کی تصدیق، پس منظر کی جانچ، پے رول، فوائد) رضامندی کی ضرورت کے بغیر جائز استعمال کے طور پر اہل ہے۔ تاہم، ملازمت کے مقاصد سے باہر ملازمین کے ڈیٹا کے لیے رضامندی کی ضرورت ہوگی۔ نافذ کرنے والے قواعد سے توقع کی جاتی ہے کہ وہ روزگار سے متعلق جائز استعمال کے دائرہ کار کو واضح کریں گے۔
کیا سیکٹر کے لیے مخصوص ڈیٹا لوکلائزیشن کے تقاضے ہیں جو اب بھی لاگو ہوتے ہیں؟
جی ہاں DPDP ایکٹ کی سرحد پار منتقلی کی دفعات سیکٹر کی مخصوص لوکلائزیشن کی ضروریات کو ختم نہیں کرتی ہیں۔ ریزرو بینک آف انڈیا (RBI) کو ہندوستان کے اندر مالیاتی ڈیٹا اسٹوریج کی ضرورت ہے (ادائیگی سسٹم ڈیٹا اسٹوریج ڈائریکشن، 2018)۔ نیشنل میڈیکل کمیشن اور وزارت صحت کے پاس ہیلتھ ڈیٹا لوکلائزیشن کے تقاضے ہیں۔ IRDAI (انشورنس) میں انشورنس کمپنیوں کے لیے ڈیٹا لوکلائزیشن کی ضروریات ہیں۔ ریگولیٹڈ سیکٹرز میں کاروباروں کو DPDP ایکٹ اور سیکٹر کی مخصوص ضروریات دونوں کو پورا کرنا چاہیے۔
اگلے اقدامات
ہندوستان کا DPDP ایکٹ ہندوستانی آپریشنز، صارفین یا ملازمین کے ساتھ کسی بھی کاروبار کے لیے ایک اہم ریگولیٹری ترقی کی نمائندگی کرتا ہے۔ جب کہ قوانین پر عمل درآمد کو ابھی حتمی شکل دی جا رہی ہے، اب آپ کے تعمیل پروگرام کی تعمیر - خاص طور پر رضامندی کے طریقہ کار، ڈیٹا کے بنیادی حقوق، اور حفاظتی تحفظات کے ارد گرد - جب آپ کو قواعد کی اطلاع دی جاتی ہے تو آپ کو مؤثر طریقے سے تعمیل حاصل کرنے کے لیے پوزیشن حاصل ہوتی ہے۔
ECOSIRE کی ٹکنالوجی پر عمل درآمد کرنے والی ٹیم کاروباروں کو DPDP کے مطابق ڈیٹا آرکیٹیکچرز، کنسنٹ مینجمنٹ سسٹمز، اور پرائیویسی آپریشنز ورک فلو کو ہندوستانی مارکیٹ کے مطابق ڈیزائن کرنے میں مدد کرتی ہے۔
شروع کریں: ECOSIRE سروسز
ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی مشورے پر مشتمل نہیں ہے۔ DPDP ایکٹ کے نفاذ کے قوانین زیر التواء ہیں۔ قواعد کے مطلع ہوتے ہی تقاضے تیار ہوں گے۔ اپنی تنظیم کے لیے مخصوص مشورے کے لیے اہل ہندوستانی قانونی مشیر سے رجوع کریں۔
تحریر
ECOSIRE Research and Development Team
ECOSIRE میں انٹرپرائز گریڈ ڈیجیٹل مصنوعات بنانا۔ Odoo انٹیگریشنز، ای کامرس آٹومیشن، اور AI سے چلنے والے کاروباری حل پر بصیرت شیئر کرنا۔
متعلقہ مضامین
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulation سے مزید
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.