Japan APPI: ذاتی معلومات کے تحفظ کی تعمیل

پرسنل انفارمیشن کے تحفظ پر جاپان کا ایکٹ (APPI — 個人情報の保護に関する法律) ایشیا کے سب سے جامع ڈیٹا پروٹیکشن فریم ورک میں سے ایک ہے۔ 2022 میں نمایاں ترمیم کی گئی (1 اپریل 2022 سے مؤثر) اور تین سالہ نظرثانی کے لازمی دور کے تحت، APPI نے جاپانی ریگولیٹری نقطہ نظر کو برقرار رکھتے ہوئے بتدریج عالمی ڈیٹا کے تحفظ کے معیارات سے ہم آہنگ کیا ہے۔

2022 کی ترامیم میں حذف کرنے کی درخواست کرنے کا حق، سرحد پار منتقلی کی معلومات کا لازمی انکشاف، تخلصی طور پر پروسیس شدہ معلومات کے قواعد، اور کارپوریٹ خلاف ورزیوں پر ¥100 ملین ($660,000 USD) تک کے جرمانے کے ساتھ نفاذ کو بڑھایا گیا۔ جاپان کا پرسنل انفارمیشن پروٹیکشن کمیشن (PPC) تیزی سے فعال ہو گیا ہے، رہنمائی جاری کر رہا ہے، تحقیقات کر رہا ہے، اور بڑے ملکی اور غیر ملکی کاروباروں کے خلاف نفاذ کی کارروائیاں درج کر رہا ہے۔

اہم ٹیک ویز

• APPI جاپان میں ذاتی معلومات کو سنبھالنے والے کاروباری آپریٹرز پر لاگو ہوتا ہے۔ غیر ملکی درخواست جاپان میں افراد کا ڈیٹا اکٹھا کرنے والے بیرون ملک آپریٹرز کا احاطہ کرتی ہے۔
• ذاتی معلومات کو سنبھالنے کے قواعد جمع کرنے، استعمال کرنے، فریق ثالث کی فراہمی، اور حفاظتی انتظام کا احاطہ کرتے ہیں۔
• خصوصی نگہداشت کے لیے درکار ذاتی معلومات (حساس ڈیٹا) کو جمع کرنے کے لیے واضح پیشگی رضامندی درکار ہے
• سرحد پار منتقلی پر پابندی ہے - مساوی تحفظ کے ساتھ، یا واضح انفرادی رضامندی اور معلومات کے انکشاف کے ساتھ تیسرے فریق کو اجازت
• 2022 کی نئی دفعات: حذف/معطلی کی درخواست کرنے کا حق، آپٹ آؤٹ کے ذریعے فریق ثالث کی فراہمی کے لیے لازمی آپٹ آؤٹ نوٹیفکیشن، تخلص پروسیسنگ کے قواعد
• PPC کے پاس وسیع تفتیشی اختیارات ہیں اور وہ کاروبار کی معطلی کے احکامات جاری کر سکتی ہے۔
• جاپان اور یورپی یونین کے درمیان باہمی قابلیت کے فیصلے ہیں — APPI کے مطابق ادارے ہموار قوانین کے تحت EU میں/سے منتقل کر سکتے ہیں
• APPI ہر تین سال بعد لازمی جائزہ سے گزرتا ہے - اگلا جائزہ سائیکل عالمی معیارات کے ساتھ مزید ہم آہنگ ہوگا۔

---

APPI فریم ورک اور دائرہ کار

علاقائی درخواست

APPI اس پر لاگو ہوتا ہے:

• جاپان میں کاروباری آپریٹرز ذاتی معلومات کو سنبھال رہے ہیں۔
• اوور سیز آپریٹرز سامان یا خدمات فراہم کرنے کے سلسلے میں جاپان میں افراد کی ذاتی معلومات کو ہینڈل کرتے ہیں (آرٹیکل 180 - 2022 کی ترامیم میں شامل کردہ ماورائے عدالت درخواست)

غیر ملکی درخواست اہم ہے: جاپانی صارفین کے ساتھ بیرون ملک مقیم کمپنیاں اب جاپانی قانونی ادارہ کے بغیر براہ راست APPI کے تابع ہیں۔ PPC بیرون ملک آپریٹرز کو احکامات جاری کر سکتا ہے اور غیر ملکی حکام کو معلومات فراہم کر سکتا ہے۔

"ذاتی معلومات ہینڈلنگ بزنس آپریٹر" کون ہے؟

کوئی بھی شخص جو کاروباری مقاصد کے لیے ذاتی معلومات کا ڈیٹا بیس استعمال کرتا ہے۔ پہلے، 5,000 سے کم افراد کا ڈیٹا ہینڈل کرنے والے آپریٹرز مستثنیٰ تھے - 2015 کی ترمیم نے اس چھوٹے آپریٹر کی استثنیٰ کو ختم کر دیا۔ تجارتی مقاصد کے لیے ذاتی معلومات کے ڈیٹا بیس کا استعمال کرنے والے تمام کاروبار اب احاطہ کیے گئے ہیں۔

اہم زمرے:

• ذاتی معلومات (個人情報): ایک زندہ فرد کے بارے میں معلومات جو ان کی شناخت نام، تاریخ پیدائش، یا دیگر تفصیل سے کر سکتی ہے۔ منفرد شناخت کنندگان شامل ہیں (میرا نمبر، پاسپورٹ نمبر، ڈرائیور کا لائسنس نمبر، بائیو میٹرک ڈیٹا)
• ذاتی ڈیٹا (個人データ): ڈیٹا بیس پر مشتمل ذاتی معلومات
• برقرار ذاتی ڈیٹا (保有個人データ): ذاتی ڈیٹا جس پر آپریٹر کو افشاء کرنے، درست کرنے، شامل کرنے، حذف کرنے، استعمال کو روکنے، ختم کرنے یا تیسرے فریق کی فراہمی کو روکنے کا اختیار حاصل ہے۔

---

APPI کی بنیادی ذمہ داریاں

استعمال کے مقاصد کی تفصیلات

آرٹیکل 17 کاروباری آپریٹرز سے ذاتی معلومات کے استعمال کے مقاصد کو خاص طور پر ممکن حد تک واضح کرنے کا مطالبہ کرتا ہے۔ ذاتی معلومات جمع کرتے وقت، مقصد ہونا چاہیے:

• عوامی طور پر پیشگی انکشاف (رازداری کی پالیسی پر)
• یا جمع کرنے والے فرد کو واضح طور پر بیان کیا گیا ہے۔
• یا اگر تحریری طور پر فرد سے براہ راست جمع کیا گیا ہو، فارم میں واضح طور پر بیان کیا گیا ہو۔

مقصد کی حد: ذاتی معلومات کو فرد کی رضامندی کے بغیر مخصوص مقاصد سے آگے استعمال نہیں کیا جانا چاہیے۔

جمع کرنے کی پابندیاں

ذاتی معلومات کو منصفانہ اور مناسب ذرائع سے جمع کیا جانا چاہیے۔ مخصوص پابندیاں:

• دھوکہ دہی یا دوسرے نامناسب ذرائع سے ذاتی معلومات حاصل نہیں کر سکتے
• براہ راست تحریری مجموعہ کے لیے، فارم پر واضح طور پر استعمال کا مقصد بیان کریں۔
• مخصوص مقصد کے اندر استعمال کریں؛ مقصد کی تبدیلی کے لیے اطلاع یا رضامندی کی ضرورت ہوتی ہے۔

خصوصی دیکھ بھال کے لیے درکار ذاتی معلومات (要配慮個人情報): جمع کرنے کے لیے پیشگی واضح رضامندی درکار ہوتی ہے۔ اس میں شامل ہیں:

• ریس
• عقیدہ (مذہب یا مذہبی عقائد)
• سماجی حیثیت (خاندانی رجسٹری کے رسمی امتیازات جو امتیازی سلوک کا باعث بن سکتے ہیں)
• طبی تاریخ
• مجرمانہ ریکارڈ
• کسی جرم کا شکار ہونے کی حیثیت
• جسمانی یا ذہنی معذوری۔
• عوارض اور چوٹ کی طبی معلومات
• جینیاتی بیماریوں کے امتحان کے نتائج

سیکیورٹی کے انتظام کے اقدامات

آرٹیکل 23 کاروباری آپریٹرز سے مطالبہ کرتا ہے کہ وہ ذاتی ڈیٹا کے محفوظ انتظام کے لیے ضروری اور مناسب اقدامات کریں تاکہ رساو، نقصان یا نقصان کو روکا جا سکے۔ پی پی سی کے رہنما خطوط چار قسم کے اقدامات کی وضاحت کرتے ہیں:

1. تنظیمی اقدامات: بنیادی پالیسیوں کا قیام؛ انتظامی نظام کو منظم کرنا؛ ہینڈلنگ کی حیثیت کو سمجھنا؛ رساو کا جواب دینا
2. عملی اقدامات: ملازمین کی تربیت؛ رازداری کے معاہدوں پر عمل درآمد
3. جسمانی اقدامات: ذاتی ڈیٹا کو سنبھالنے والے علاقوں میں داخلے/خارج کا انتظام؛ آلات کا انتظام؛ چوری / نقصان کی روک تھام
4. تکنیکی اقدامات: رسائی کنٹرول؛ رسائی کی توثیق؛ اینٹی وائرس اقدامات؛ معلومات کے نظام کی نگرانی

تھرڈ پارٹی پروویژن پر پابندی

آرٹیکل 27 فرد کی پیشگی رضامندی کے بغیر تیسرے فریق کو ذاتی ڈیٹا کی فراہمی پر پابندی لگاتا ہے۔ مستثنیات:

• قانون کی طرف سے ضروری ہے
• انسانی جان، جسم، یا جائیداد کا تحفظ جہاں رضامندی حاصل نہیں کی جاسکتی ہے۔
• عوامی صحت کو بہتر بنانا جہاں رضامندی حاصل نہیں کی جاسکتی ہے۔
• قومی یا مقامی حکومتی اداروں کے ساتھ تعاون کرنا
• آپٹ آؤٹ کی بنیاد: رضامندی کے بغیر فریق ثالث کی فراہمی کی اجازت ہے اگر آپریٹر PPC کو مطلع کرتا ہے اور افراد کو آپٹ آؤٹ کرنے کا موقع دیتا ہے (اہم انکشاف کی ضروریات کے ساتھ)

بیرون ملک اداروں کے لیے فریق ثالث کی فراہمی: اضافی تقاضوں سے مشروط (کراس بارڈر ٹرانسفر سیکشن دیکھیں)۔

---

انفرادی حقوق

2022 کی ترامیم نے انفرادی حقوق کو نمایاں طور پر وسعت دی:

شکایات سے نمٹنے کے لیے: کاروباری آپریٹرز کو ذاتی معلومات سے نمٹنے کے بارے میں شکایات کو مناسب طریقے سے اور فوری طور پر ہینڈل کرنے کی کوشش کرنی چاہیے۔ پی پی سی کی طرف سے تصدیق شدہ فریق ثالث تنازعات کے حل کے ادارے متبادل حل فراہم کر سکتے ہیں۔

جواب کے تقاضے: APPI مخصوص کیلنڈر ڈے رسپانس کی مدت مقرر نہیں کرتا ہے (جی ڈی پی آر کے 30 دن کے برعکس)۔ آپریٹرز کو "بغیر تاخیر کے" جواب دینا چاہیے — PPC کے رہنما خطوط بتاتے ہیں کہ عام طور پر پیچیدہ درخواستوں کے لیے جوابات زیادہ سے زیادہ 2-3 ماہ کے اندر ہونے چاہئیں۔

---

سرحد پار ڈیٹا کی منتقلی

آرٹیکل 28 ذاتی ڈیٹا کی بیرون ملک فراہمی کو محدود کرتا ہے۔ بیرون ملک مقیم وصول کنندگان کے لیے فریق ثالث کی فراہمی میں سے ایک کی ضرورت ہے:

1. انفرادی رضامندی: بیرون ملک منزل اور نظام کے بارے میں مخصوص معلومات فراہم کرنے کے بعد فرد کی پیشگی رضامندی
2. مساوی تحفظ کے ساتھ ملک: پی پی سی کیبنٹ آرڈر کے ذریعہ نامزد کردہ ملک میں منتقلی جس میں موازنہ تحفظ کی سطح ہے (فی الحال: EU/EEA ممالک جاپان-EU مناسب انتظام کے تحت)
3. مساوی تحفظ کے ساتھ آپریٹر: بیرون ملک مقیم وصول کنندہ نے ڈیٹا کے تحفظ کے مساوی اقدامات نافذ کیے ہیں (معاہدے کے ذریعے دستاویزی، پابند کارپوریٹ قواعد، یا دیگر ذرائع)

رضامندی کے لیے ضروری معلومات کا انکشاف: رضامندی پر مبنی منتقلی کے لیے، آپریٹر کو پہلے سے فرد کو فراہم کرنا چاہیے:

• بیرونی ملک کا نام
• اس ملک میں ذاتی معلومات کے تحفظ کا نظام
• ذاتی معلومات کو سنبھالنے کے لیے تیسرے فریق کی طرف سے اٹھائے گئے اقدامات

PPC ملک کی معلومات کا صفحہ دوسرے ممالک میں تحفظ کے نظام کے حوالے سے معلومات فراہم کرتا ہے۔

جاپان-یورپی یونین کی اہلیت: جاپان اور یورپی یونین کے درمیان باہمی مناسبیت کے انتظامات ہیں — جاپان کے پاس EU کمیشن کی طرف سے مناسبیت کا فیصلہ ہے، اور جاپان یورپی یونین کے رکن ممالک کو مساوی تحفظ کے حامل تسلیم کرتا ہے۔ یہ جاپان↔EU ڈیٹا کے بہاؤ کو نمایاں طور پر آسان بناتا ہے۔

غیر ملکی منتقلیوں کے لیے تخلصی پروسیسنگ: تخلصی طور پر پروسیسنگ معلومات بیرون ملک مقیم تیسرے فریقوں کو آپٹ آؤٹ کی بنیاد پر فراہم کی جا سکتی ہیں (رضامندی کی ضرورت کے بجائے)، پی پی سی نوٹیفکیشن اور انفرادی آپٹ آؤٹ مواقع کے تابع۔

---

تخلص پروسیسنگ کی معلومات (仮名加工情報)

2021 کی ترامیم نے تخلص پروسیسنگ معلومات (仮名加工情報) متعارف کرائی — ذاتی ڈیٹا اور گمنام طور پر پروسیس شدہ معلومات کے درمیان ایک نیا زمرہ۔ تقاضے:

تخلیق: شناخت کرنے والی معلومات (نام، تاریخ پیدائش، پتے) کو مخصوص کوڈز یا دیگر اقدامات سے تبدیل کرکے ذاتی معلومات پر کارروائی کریں جو دیگر معلومات کے بغیر فرد کی شناخت ناممکن بنا دیتے ہیں۔

استعمالات: تخلصی طور پر پروسیس شدہ معلومات کو انفرادی رضامندی کے بغیر اندرونی تجزیہ اور تحقیقی مقاصد کے لیے استعمال کیا جا سکتا ہے - رازداری کے خطرے کو کم کرتے ہوئے ڈیٹا اینالیٹکس کو فعال کرنا۔

پابندیاں:

• تیسرے فریق کو فراہم نہیں کیا جا سکتا ہے (سوائے سپرد آپریٹرز کے اور مخصوص شرائط کے تحت کارپوریٹ گروپوں کے اندر)
• افراد کی شناخت کے لیے دوسری معلومات کے ساتھ کراس حوالہ نہیں دیا جا سکتا
• افراد سے رابطہ کرنے کے لیے استعمال نہیں کیا جا سکتا

سیکیورٹی: ذاتی ڈیٹا کی طرح محفوظ طریقے سے انتظام کیا جانا چاہیے۔

---

گمنام طور پر پروسیس شدہ معلومات (匿名加工情報)

واقعی گمنام ڈیٹا جس کی دوسری معلومات کے ساتھ بھی دوبارہ شناخت نہیں کی جا سکتی۔ تقاضے:

• PPC کے مخصوص گمنامی کے معیارات پر عمل کریں (بشمول ناقابل واپسی پروسیسنگ: نام/پتہ کی تبدیلی، دانے دار ڈیٹا کو عام کرنا، آؤٹ لیرز کو دبانا، ربط کی معلومات کو حذف کرنا)
• بنائی گئی گمنام معلومات کے زمرے شائع کریں۔
• زمرہ جات کی اشاعت کے ساتھ تیسرے فریق کو فراہم کیا جا سکتا ہے۔
• وصول کنندگان معلومات کی دوبارہ شناخت کرنے کی کوشش نہیں کر سکتے

---

خلاف ورزی کی اطلاع (2022 ترمیم)

2022 کی ترامیم نے خلاف ورزی کی اطلاع کو لازمی بنا دیا (پہلے سختی سے تجویز کیا گیا تھا)۔ تقاضے:

پی پی سی کے لیے اطلاع (آرٹیکل 26): جب کوئی رساو، نقصان، یا نقصان ہوتا ہے جس سے انفرادی حقوق اور مفادات کو نقصان پہنچنے کا امکان ہوتا ہے، بشمول:

• رساو جس میں خصوصی دیکھ بھال کے لیے درکار ذاتی معلومات شامل ہوں۔
• غیر قانونی استعمال کے ذریعے املاک کو نقصان پہنچانے کا امکان ہے (مالی/اکاؤنٹ کی معلومات)
• نامناسب مقصد کی وجہ سے رساو (بد نیتی پر مبنی اندرونی)
• رساو 1,000 یا اس سے زیادہ افراد کو متاثر کرتا ہے۔

ٹائم لائن:

• ابتدائی رپورٹ: آگاہ ہونے کے 3-5 کاروباری دنوں کے اندر
• مکمل رپورٹ: 30 دن کے اندر (60 دن بدنیتی پر مبنی اندرونی خلاف ورزیوں کے لیے)

انفرادی اطلاع: اسی کوالیفائنگ ایونٹس کے لیے درکار ہے — افراد کو بلا تاخیر مطلع کیا جانا چاہیے۔

اطلاعاتی مواد (پی پی سی اور افراد کو):

• واقعہ کا جائزہ
• متاثرہ ڈیٹا مضامین اور ذاتی ڈیٹا کی اقسام اور تعداد
• وجوہات اور حالات
• آیا ثانوی نقصان کا خطرہ ہے۔
• اٹھائے گئے اور منصوبہ بند اقدامات

---

پی پی سی کا نفاذ اور جرمانے

پرسنل انفارمیشن پروٹیکشن کمیشن (PPC) (個人情報保護委員会) جاپان کی آزاد ڈیٹا پروٹیکشن اتھارٹی ہے۔ 2016 میں قائم کیا گیا، PPC کے پاس نگرانی کے وسیع اختیارات ہیں۔

انتظامی اختیارات:

• کاروباری آپریٹرز سے رپورٹس/تفتیش کی درخواستیں (آرٹیکل 146)
• سائٹ پر معائنہ
• رہنمائی اور مشورہ (آرٹیکل 147)
• سفارشات (آرٹیکل 148)
• آرڈرز (آرٹیکل 148(2)) - کاروباری آپریٹرز کو لازمی تعمیل کرنا چاہیے۔
• عدم تعمیل کی اشاعت (آرٹیکل 148(3))

جرمانے:

• پی پی سی آرڈر کی خلاف ورزی: افراد کے لیے ¥100 ملین کارپوریٹ جرمانہ + ¥1 ملین تک
• PPC تحقیقات کے جواب میں رپورٹ کرنے میں ناکامی/جھوٹی رپورٹ: 500,000 تک
• فریق ثالث کے ڈیٹا بیس کی غیر قانونی فراہمی: افراد کے لیے ¥1 ملین + ¥300,000 تک + 1 سال تک قید (مجرمانہ)
• غیر قانونی منافع کے لیے ذاتی معلومات کا غلط استعمال: مجرمانہ جرمانہ 1 سال قید تک

PPC تیزی سے فعال ہو رہا ہے - حالیہ کارروائیوں میں بڑی جاپانی کمپنیوں کی تحقیقات، بیرون ملک کاروباری آپریٹر کی ذمہ داریوں پر رہنمائی، اور غیر ملکی DPAs کے ساتھ تعاون شامل ہے۔

---

APPI تعمیل چیک لسٹ

• APPI قابل اطلاق تصدیق شدہ (جاپانی آپریشنز یا جاپانی صارفین کے ساتھ بیرون ملک آپریٹر)
• رازداری کی پالیسی شائع کی گئی ہے جس میں استعمال کے تمام مقاصد کی وضاحت کی گئی ہے۔
• [] جمع کرنے کا مقصد ہر کلیکشن پوائنٹ پر واضح طور پر بیان کیا گیا ہے۔
• خصوصی نگہداشت کے لیے درکار ذاتی معلومات کی نشاندہی کی گئی — پیشگی واضح رضامندی حاصل کی گئی۔
• حفاظتی انتظامی اقدامات نافذ کیے گئے (تنظیمی، عملہ، جسمانی، تکنیکی)
• فریق ثالث کی فراہمی کی تشخیص: رضامندی یا استثناء ہر شیئرنگ کے لیے دستاویزی ہے۔
• آپٹ آؤٹ نوٹیفکیشن PPC کے ساتھ دائر کیا گیا ہے اگر آپ فریق ثالث کی فراہمی کے لیے آپٹ آؤٹ کی بنیاد استعمال کر رہے ہیں
• سرحد پار منتقلی کے طریقہ کار کا تعین کیا گیا ہے (انکشاف کے ساتھ رضامندی، یا مساوی تحفظ)
• فریق ثالث کی فراہمی کے ریکارڈ کو برقرار رکھا گیا (انکشاف کی درخواستوں کے لیے)
• انفرادی حقوق کے جوابی طریقہ کار کو دستاویز کیا گیا (انکشاف، اصلاح، معطلی، مٹانے)
• شکایت سے نمٹنے کا طریقہ کار قائم کیا گیا ہے۔
• خلاف ورزی کی اطلاع کا طریقہ کار دستاویزی ہے (ابتدائی 3-5 دن، پورے 30 دن)
• تخلص/ گمنام پروسیسنگ کے طریقہ کار قائم کیے گئے ہیں اگر استعمال کیا جائے۔
• APPI کی ذمہ داریوں پر ملازمین کی تربیت مکمل ہو گئی۔
• بیرون ملک آپریٹر کے عہدہ کی تصدیق ہو گئی اگر قابل اطلاق ہو (PPC نوٹیفکیشن)

---

اکثر پوچھے گئے سوالات

کیا APPI جاپانی صارفین کے ساتھ میری بیرون ملک کمپنی پر لاگو ہوتا ہے؟

ہاں، 2022 کی ترامیم کے بعد سے۔ APPI کا آرٹیکل 180 APPI کا اطلاق سامان یا خدمات فراہم کرنے کے سلسلے میں جاپان میں افراد کی ذاتی معلومات کو سنبھالنے والے بیرون ملک کاروبار پر کرتا ہے۔ اس میں جاپانی صارفین سے ڈیٹا اکٹھا کرنے والی کوئی بھی بیرون ملک ویب سائٹ، ایپ یا سروس شامل ہے۔ اوورسیز آپریٹرز کو تمام قابل اطلاق APPI دفعات کی تعمیل کرنی چاہیے اور وہ PPC کی نگرانی کے تابع ہیں۔ PPC بیرون ملک آپریٹرز کو آرڈر جاری کر سکتا ہے اور باہمی تعاون کے انتظامات کے تحت جاپان کے غیر ملکی ہم منصبوں کے ساتھ معلومات کا تبادلہ کر سکتا ہے۔

"خصوصی نگہداشت کے لیے درکار ذاتی معلومات" کیا ہے اور اس سے فرق کیوں پڑتا ہے؟

خصوصی نگہداشت کے لیے درکار ذاتی معلومات (要配慮個人情報) APPI کے حساس ڈیٹا کے مساوی ہے — ایسی معلومات جس کا جمع کرنا غیر منصفانہ امتیاز یا تعصب کا باعث بن سکتا ہے۔ اس میں نسل، عقیدہ، سماجی حیثیت، طبی تاریخ، مجرمانہ ریکارڈ، معذوری کی حیثیت، اور جرم کے شکار کی حیثیت شامل ہے۔ کلیدی ذمہ داری: آپ کو ان میں سے کسی بھی زمرے کو جمع کرنے سے پہلے پہلے واضح رضامندی حاصل کرنی ہوگی، چاہے آپ کے پاس دوسری صورت میں انہیں جمع کرنے کی کوئی وجہ ہو۔ مضمر رضامندی، آپٹ آؤٹ کی بنیاد، اور رضامندی کے دیگر نچلے معیارات خصوصی نگہداشت کے لیے درکار معلومات پر لاگو نہیں ہوتے ہیں۔

جاپان-EU ڈیٹا کا بہاؤ باہمی مناسب انتظام کے تحت کیسے کام کرتا ہے؟

جاپان اور یورپی یونین نے 2019 میں باہمی مناسبیت قائم کی - ایک منفرد دو طرفہ انتظام۔ یوروپی کمیشن نے جاپان کے لئے ایک قابلیت کا فیصلہ اپنایا، اور جاپان نے APPI میں ترمیم کی تاکہ EU کے ذاتی ڈیٹا کو اپنے موجودہ فریم ورک کے اندر شامل کیا جاسکے (ضمنی قواعد کے ساتھ)۔ اس کا مطلب ہے: EU→جاپان کی منتقلی کی اجازت اضافی میکانزم کے بغیر ہے (EC کی مناسبیت کے فیصلے کے تحت)؛ Japan دونوں سمتوں کے لیے اب بھی تمام APPI ذمہ داریوں (جاپان → EU کے لیے) اور تمام EU GDPR ذمہ داریوں (EU → جاپان کے لیے) کی تعمیل کی ضرورت ہے۔ جاپان میں EU ذاتی ڈیٹا کے ضمنی اصولوں میں GDPR کی ضروریات سے مماثل اضافی تحفظات شامل ہیں۔

APPI کو فریق ثالث کی فراہمی کے لیے کن ریکارڈز کی ضرورت ہے؟

APPI کاروباری آپریٹرز کو تیسرے فریقوں کو ذاتی ڈیٹا فراہم کرتے وقت، اور تیسرے فریقوں سے ذاتی ڈیٹا وصول کرتے وقت ریکارڈ بنانے کا تقاضا کرتا ہے۔ فراہمی کے ریکارڈ میں شامل ہونا ضروری ہے: فراہمی کی تاریخ، تیسرے فریق کا نام اور دیگر تفصیلات، فراہم کردہ ذاتی ڈیٹا کے زمرے، فراہمی کے حالات (قانونی بنیاد)، اور فرد کے بارے میں معلومات اگر کسی تیسرے فریق سے حاصل کی گئی ہو۔ ان ریکارڈز کو ایک مخصوص مدت کے لیے برقرار رکھا جانا چاہیے (زیادہ تر کے لیے تخلیق سے 3 سال، ایسے معاملات کے لیے 1 سال جہاں درخواست پر افراد کے ساتھ ریکارڈ کا اشتراک کیا جا سکتا ہے)۔ افراد تیسری پارٹی کے فراہمی کے ان ریکارڈوں کے انکشاف کی درخواست کر سکتے ہیں۔

APPI کے تحت DPIA یا رازداری کے اثرات کی تشخیص کب ضروری ہے؟

APPI خاص طور پر ڈیٹا پروٹیکشن امپیکٹ اسیسمنٹ (DPIAs) کو لازمی نہیں دیتا جیسا کہ EU GDPR کرتا ہے۔ تاہم، PPC نے ہائی رسک پروسیسنگ سرگرمیوں کے لیے رضاکارانہ PIAs کی حوصلہ افزائی کرتے ہوئے رہنما خطوط جاری کیے ہیں، خاص طور پر: نئے نظام یا خدمات جس میں بڑے پیمانے پر ذاتی ڈیٹا اکٹھا کرنا، سرحد پار منتقلی کے منصوبے، حساس ڈیٹا کے نئے استعمال، اور پروفائلنگ یا خودکار فیصلہ سازی شامل ہیں۔ پی پی سی کی جانب سے پی آئی اے کا انعقاد بہترین عمل سمجھا جاتا ہے اور یہ تنظیمی احتساب کا اشارہ ہے۔ APPI اور GDPR دونوں کے ساتھ مشروط کاروبار کے لیے، GDPR کے لازمی DPIA کے تقاضے EU سے متعلقہ پروسیسنگ سرگرمیوں پر لاگو ہوں گے۔

---

اگلے اقدامات

جاپان کا APPI اپنے تین سالہ نظرثانی کے لازمی دور کے ذریعے ترقی کرتا رہتا ہے - 2025 کے جائزے سے APPI کو بین الاقوامی معیارات کے ساتھ مزید ہم آہنگ کرنے کی توقع ہے۔ ایک تعمیل پروگرام بنانے کے لیے جو جاری اپ ڈیٹس کے لیے جوابدہ ہو، موجودہ ذمہ داریوں کو پورا کرتے ہوئے، تکنیکی مہارت اور قانونی آگاہی دونوں کی ضرورت ہوتی ہے۔

ECOSIRE کی ٹیم جاپان کی مارکیٹ میں داخلے اور توسیع کے ساتھ کاروبار کو APPI کے مطابق ڈیٹا کے طریقوں، جاپانی صارفین کے لیے رازداری کی پالیسیوں، اور سرحد پار ڈیٹا کی منتقلی کے طریقہ کار کو نافذ کرنے میں مدد کرتی ہے۔

شروع کریں: ECOSIRE سروسز

ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی مشورے پر مشتمل نہیں ہے۔ APPI باقاعدہ جائزہ اور ترمیم سے مشروط ہے۔ اپنی تنظیم کے لیے مخصوص مشورے کے لیے اہل جاپانی قانونی مشیر سے رجوع کریں۔