ہماری Compliance & Regulation سیریز کا حصہ
مکمل گائیڈ پڑھیںUAE ڈیٹا پروٹیکشن قانون: بزنس کمپلائنس گائیڈ
متحدہ عرب امارات نے مشرق وسطیٰ میں ڈیٹا کے تحفظ کا سب سے نفیس فریم ورک تیار کیا ہے، جس میں وفاقی، فری زون اور سیکٹر کے مخصوص دائرہ اختیار میں ڈیٹا کے تحفظ کو کنٹرول کرنے والے متعدد اوورلیپنگ قوانین ہیں۔ یہ سمجھنا کہ کون سا قانون آپ کے کاروبار پر لاگو ہوتا ہے — اور تمام قابل اطلاق نظاموں میں تعمیل کو یقینی بنانا — متحدہ عرب امارات کی تیزی سے بڑھتی ہوئی ڈیجیٹل معیشت میں قانونی طور پر کام کرنے کے لیے ضروری ہے۔
UAE کی بنیادی ڈیٹا پروٹیکشن قانون سازی میں شامل ہیں: پرسنل ڈیٹا کے تحفظ (PDPL) سے متعلق وفاقی حکم نامہ نمبر 45/2021، ستمبر 2021 سے لاگو ہونے والا DIFC ڈیٹا پروٹیکشن قانون 2020 (دبئی انٹرنیشنل فنانشل سینٹر میں کاروبار کے لیے)، ADGM کے کاروبار کے لیے ADGM Protection2020 ظہبی گلوبل مارکیٹ)، اور صحت کی دیکھ بھال، ٹیلی کمیونیکیشن، اور مالیاتی خدمات کا احاطہ کرنے والے شعبے کے مخصوص ضوابط۔
اہم ٹیک ویز
- UAE PDPL (وفاقی فرمان قانون نمبر 45/2021) UAE میں ذاتی ڈیٹا پروسیسنگ پر بیرونی دائرہ کار کے ساتھ لاگو ہوتا ہے
- DIFC اور ADGM فری زونز کے پاس GDPR پر وضع کردہ ڈیٹا کے تحفظ کے اپنے خود مختار قوانین ہیں
- UAE PDPL پروسیسنگ کے لیے آٹھ قانونی اڈے فراہم کرتا ہے۔ رضامندی اور جائز مفادات سب سے زیادہ استعمال ہوتے ہیں۔
- ڈیٹا کے موضوع کے حقوق میں رسائی، تصحیح، حذف، نقل پذیری، رضامندی سے دستبرداری، اور اعتراض شامل ہیں
- سرحد پار ڈیٹا کی منتقلی کے لیے یا تو مناسب تعین یا مناسب حفاظتی اقدامات کی ضرورت ہوتی ہے۔
- UAE ڈیٹا آفس (UAEDO) وفاقی نگران اتھارٹی ہے؛ DIFC کمشنر اور ADGM ریگولیٹری اتھارٹی اپنے متعلقہ فری زونز کی نگرانی کرتے ہیں۔
- PDPL کے تحت جرمانے میں AED 20 ملین ($ 5.4 ملین USD) تک کے جرمانے اور بعض خلاف ورزیوں پر قید شامل ہیں۔
- صحت کی دیکھ بھال کا ڈیٹا، مالیاتی ڈیٹا، اور بائیو میٹرک ڈیٹا کو حساس ڈیٹا کے طور پر زیادہ تحفظ ملتا ہے۔
UAE ڈیٹا پروٹیکشن فریم ورک: اوورلیپنگ دائرہ اختیار
وفاقی PDPL (UAE مین لینڈ)
پرسنل ڈیٹا پروٹیکشن (جسے عام طور پر PDPL یا UAE DPL کہا جاتا ہے) سے متعلق وفاقی فرمان قانون نمبر 45/2021 کا اطلاق ہوتا ہے:
- متحدہ عرب امارات میں رہنے والے قدرتی افراد
- UAE میں یا UAE کے رہائشیوں کے بارے میں ذاتی ڈیٹا پر کارروائی کرنے والی کوئی بھی ہستی، اس بات سے قطع نظر کہ پروسیسنگ کہاں ہوتی ہے۔
- قانونی افراد جو متحدہ عرب امارات کے علاقے میں ذاتی ڈیٹا پر کارروائی کرتے ہیں۔
PDPL کو ایگزیکٹو ریگولیشن کیبنٹ کے فیصلے نمبر 33/2022 کے ذریعے ضمیمہ کیا گیا تھا، جو تفصیلی نفاذ کے تقاضے فراہم کرتا ہے۔ UAE ڈیٹا آفس (UAEDO) نفاذ، رجسٹریشن کی ضروریات، اور رہنمائی کے اجراء کی نگرانی کرتا ہے۔
DIFC ڈیٹا پروٹیکشن قانون 2020 (DP قانون)
دبئی انٹرنیشنل فنانشل سینٹر (DIFC) ایک آزاد آزاد زون ہے جس کا اپنا قانونی نظام انگریزی عام قانون پر مبنی ہے۔ ڈی آئی ایف سی ڈیٹا پروٹیکشن قانون 2020، جو ڈی آئی ایف سی کمشنر آف ڈیٹا پروٹیکشن کے زیر انتظام ہے، ساخت اور تقاضوں میں جی ڈی پی آر کا قریب سے آئینہ دار ہے۔ اس پر لاگو ہوتا ہے:
- DIFC رجسٹرڈ ادارے جو ذاتی ڈیٹا پر کارروائی کرتے ہیں۔
- DIFC سے باہر کے ادارے جو DIFC میں افراد کے ڈیٹا پر کارروائی کرتے ہیں۔
ADGM ڈیٹا پروٹیکشن ریگولیشنز 2021
ابوظہبی گلوبل مارکیٹ (ADGM) فری زون ڈی آئی ایف سی کے لیے اسی طرح کے نقطہ نظر کی پیروی کرتا ہے، جس میں ADGM رجسٹریشن اتھارٹی کے زیر انتظام ڈیٹا کے تحفظ کے ضوابط ہیں۔ یہ ضوابط بھی GDPR اصولوں کی قریب سے پیروی کرتے ہیں۔
عملی مضمرات: DIFC کے رجسٹرڈ ذیلی ادارے اور ADGM برانچ کے ساتھ دبئی مین لینڈ سے کام کرنے والا کاروبار ممکنہ طور پر تینوں حکومتوں کے تحت بیک وقت ذمہ داریوں کا سامنا کرتا ہے۔ اپنی قانونی ہستی کے ڈھانچے کو سمجھنا تعمیل کی نقشہ سازی کا نقطہ آغاز ہے۔
UAE PDPL: بنیادی ذمہ داریاں
ذاتی ڈیٹا کی تعریف اور زمرہ جات
UAE PDPL کے تحت، ذاتی ڈیٹا کا مطلب ہے کوئی بھی ڈیٹا جو کسی قدرتی شخص کی شناخت کا باعث بنتا ہے، براہِ راست یا بالواسطہ، چاہے نام، آواز، تصویر، شناختی نمبر، یا جسمانی، نفسیاتی، معاشی، ثقافتی، یا سماجی شناخت سے متعلق کوئی اور خصوصیت یا ڈیٹا۔
حساس ذاتی ڈیٹا (زیادہ تحفظ کی ضرورت ہے) میں شامل ہیں:
- خاندانی یا نسلی اصل سے متعلق ڈیٹا
- سیاسی نظریات
- مذہبی یا فلسفیانہ عقائد
- مجرمانہ ریکارڈ سے متعلق ڈیٹا
- بائیو میٹرک ڈیٹا
- صحت کا ڈیٹا
- بچوں سے متعلق ڈیٹا
حساس ڈیٹا پر کارروائی کرنے کے لیے واضح رضامندی کی ضرورت ہوتی ہے یا مخصوص چھوٹ (قانونی ذمہ داری، طبی ضرورت، اہم مفادات) کے تحت آتا ہے۔
پروسیسنگ کے لیے قانونی بنیادیں۔
UAE PDPL کا آرٹیکل 5 آٹھ قانونی بنیادوں کو تسلیم کرتا ہے:
- ڈیٹا کے موضوع کی واضح رضامندی
- ڈیٹا کے موضوع کے ساتھ معاہدے پر عمل درآمد
- قانونی ذمہ داری کی تعمیل
- ڈیٹا کے موضوع یا تیسرے فریق کے اہم مفادات کا تحفظ
- عوامی مفاد یا سرکاری اختیار کا استعمال
- کنٹرولر یا فریق ثالث کے جائز مفادات
- قانونی دعووں کا قیام، مشق، یا دفاع
- عوامی مفاد میں آرکائیونگ، تحقیق، یا شماریاتی مقاصد
رضامندی کے تقاضے: UAE PDPL کے تحت، رضامندی واضح، مخصوص، باخبر اور قابل تصدیق ہونی چاہیے۔ کنٹرولر کو یہ ظاہر کرنے کے قابل ہونا چاہیے کہ رضامندی حاصل کی گئی تھی۔ رضامندی کو واپس لینا اتنا ہی آسان ہونا چاہیے جتنا کہ اسے دینا، اور رضامندی کی بنیاد پر کارروائی واپسی کے بعد بند ہونی چاہیے۔
ڈیٹا سبجیکٹ کے حقوق
UAE PDPL ڈیٹا کے مضامین کے حقوق فراہم کرتا ہے جو 30 دنوں کے اندر پورا ہونے چاہئیں (جواز کے ساتھ قابل توسیع):
| دائیں | تفصیل |
|---|---|
| رسائی کا حق | کارروائی کی جا رہی ذاتی ڈیٹا کی ایک کاپی حاصل کریں |
| اصلاح کا حق | درست غلط یا نامکمل ڈیٹا |
| مٹانے کا حق | مخصوص حالات میں ڈیٹا کو حذف کریں (رضامندی واپس لے لی گئی، کارروائی غیر قانونی) |
| پابندی کا حق | زیر التواء تنازعات کے حل پر کارروائی کو محدود کریں |
| پورٹیبلٹی کا حق | ایک منظم، مشین پڑھنے کے قابل فارمیٹ میں ڈیٹا وصول کریں |
| رضامندی واپس لینے کا حق | پیشگی کارروائی کو متاثر کیے بغیر کسی بھی وقت رضامندی واپس لے لیں |
| اعتراض کا حق | جائز مفادات کی بنیاد پر کارروائی پر اعتراض |
| خودکار فیصلوں کے تابع نہ ہونے کا حق | اہم اثرات کے ساتھ مکمل طور پر خودکار فیصلوں پر اعتراض |
حقوق کا استعمال: کنٹرولرز کو حقوق کی درخواستیں وصول کرنے اور ان کا جواب دینے کے لیے واضح چینلز قائم کرنے چاہییں۔ انکار کو جواز کے ساتھ دستاویز کیا جانا چاہیے۔
کنٹرولر اور پروسیسر کی ذمہ داریاں
کنٹرولر کی ذمہ داریاں
UAEDO کے ساتھ رجسٹریشن: ذاتی ڈیٹا پر کارروائی کرنے والے کاروباروں کو UAE ڈیٹا آفس کے ساتھ رجسٹر کرنے کی ضرورت پڑسکتی ہے۔ UAEDO اضافی ضوابط کے ذریعے رجسٹریشن کی ضروریات تیار کر رہا ہے - موجودہ ضروریات کے لیے UAEDO رہنمائی کی نگرانی کریں۔
پرائیویسی نوٹس: ڈیٹا کے مضامین کو جمع کرنے پر یا اس سے پہلے فراہم کیا جانا چاہیے، انکشاف:
- کنٹرولر کی شناخت اور رابطے کی تفصیلات
- پروسیسنگ کے مقاصد اور قانونی بنیاد
- جمع کردہ ذاتی ڈیٹا کے زمرے
- ڈیٹا برقرار رکھنے کی مدت
- ڈیٹا کے موضوع کے حقوق اور ان کا استعمال کیسے کریں۔
- سرحد پار منتقلی کے بارے میں معلومات
- آیا ڈیٹا کی فراہمی لازمی ہے یا رضاکارانہ
ڈیٹا پروٹیکشن آفیسر: UAE PDPL کو ڈیٹا پروٹیکشن آفیسر (DPO) کی تقرری کی ضرورت ہے:
- عوامی ادارے
- کنٹرولرز یا پروسیسرز جن کی بنیادی سرگرمیوں کے لیے افراد کی بڑے پیمانے پر منظم نگرانی کی ضرورت ہوتی ہے۔
- کنٹرولرز یا پروسیسرز جن کی بنیادی سرگرمیوں میں حساس ڈیٹا کی بڑے پیمانے پر پروسیسنگ شامل ہوتی ہے۔
ان معیارات پر پورا نہ اترنے والے نجی کاروبار اب بھی گورننس کے مقاصد کے لیے ڈی پی او کی تقرری سے فائدہ اٹھا سکتے ہیں۔
سیکیورٹی اقدامات: پروسیسنگ کی نوعیت، دائرہ کار، سیاق و سباق اور مقاصد اور ڈیٹا کے موضوع کے حقوق کو لاحق خطرات کو مدنظر رکھتے ہوئے مناسب تکنیکی اور تنظیمی حفاظتی اقدامات کو نافذ کریں۔
پروسیسر کے معاہدے
پروسیسرز کو صرف دستاویزی کنٹرولر ہدایات پر ڈیٹا پر کارروائی کرنی چاہیے۔ کنٹرولرز اور پروسیسرز کے درمیان معاہدوں کا احاطہ کرنا ضروری ہے:
- ڈیٹا پروسیسنگ کی ہدایات اور دائرہ کار
- رازداری کی ذمہ داریاں
- سیکیورٹی کی ضروریات
- ذیلی پروسیسر پابندیاں
- ڈیٹا کے موضوع کے حقوق کے ساتھ مدد
- ڈیٹا کی واپسی یا حذف کرنے کی ذمہ داریاں
سرحد پار ڈیٹا کی منتقلی کے قواعد
UAE PDPL کا آرٹیکل 22 UAE سے باہر ذاتی ڈیٹا کی منتقلی پر پابندی لگاتا ہے۔ اجازت شدہ منتقلی کے طریقہ کار:
| میکانزم | تقاضے |
|---|---|
| مناسبیت کا فیصلہ | مناسب تحفظ کی سطح کے ساتھ ملک میں منتقلی (فی UAEDO عزم) |
| مناسب حفاظتی تدابیر | معیاری معاہدے کی شقیں یا پابند کارپوریٹ قواعد |
| کارپوریٹ قوانین کا پابند | ملحقہ اداروں کے درمیان انٹرا گروپ منتقلی کے لیے |
| واضح رضامندی | ڈیٹا کے موضوع کی باخبر رضامندی |
| معاہدہ کی ضرورت | ڈیٹا سبجیکٹ اور کنٹرولر کے درمیان معاہدے پر عمل درآمد کے لیے ضروری منتقلی |
| قانونی کارروائی | قانونی دعووں کے لیے ضروری منتقلی |
| اہم مفادات | اہم مفادات کے تحفظ کے لیے ضروری منتقلی |
UAEDO کی مناسبیت کے فیصلے: UAEDO مناسب ڈیٹا پروٹیکشن والے ممالک کی فہرست تیار کر رہا ہے۔ 2026 کے اوائل تک، باضابطہ مناسبیت کی فہرست اب بھی قائم کی جا رہی ہے۔ عملی طور پر، UAE کے بہت سے کاروبار سرحد پار منتقلی کے لیے معاہدے کی شقوں کا استعمال کرتے ہیں۔
فری زون کے تحفظات: DIFC اور ADGM کے اپنے ٹرانسفر میکانزم ہیں۔ DIFC ڈیٹا پروٹیکشن قانون مناسب ممالک میں منتقلی کو تسلیم کرتا ہے (بشمول GDPR-کافی ممالک)، پابند کارپوریٹ قواعد، اور معیاری معاہدے کی شقوں کو۔ ڈی آئی ایف سی کمشنر نے منتقلی کے مخصوص طریقہ کار کی منظوری دی ہے۔
DIFC ڈیٹا پروٹیکشن قانون 2020 — کلیدی فرق
DIFC میں یا اس کے ذریعے کام کرنے والے کاروباروں کے لیے، DIFC DP قانون 2020 براہ راست لاگو ہوتا ہے اور وفاقی PDPL سے زیادہ GDPR سے منسلک ہے۔ اہم خصوصیات:
چھ قانونی بنیادیں (جی ڈی پی آر سے مماثل): رضامندی، معاہدہ، قانونی ذمہ داری، اہم مفادات، عوامی کام، جائز مفادات
سخت رضامندی کے تقاضے: ذاتی ڈیٹا کے خصوصی زمروں کی کارروائی کے لیے تحریری رضامندی درکار ہے۔ رضامندی آزادانہ طور پر دی جانی چاہیے (طاقت کے عدم توازن پر غور لاگو ہوتا ہے)
ڈیٹا کی خلاف ورزی کی اطلاع: DIFC کمشنر کو 72 گھنٹے کی اطلاع؛ انفرادی اطلاع جہاں زیادہ خطرہ — جی ڈی پی آر ٹائمنگ جیسا
ڈی پی او کی ضرورت: جی ڈی پی آر جیسی حدیں (منظم نگرانی، بڑے پیمانے پر خصوصی زمرہ کا ڈیٹا، پبلک اتھارٹی)
جرمانے: سطح 1 کی خلاف ورزیوں کے لیے $100,000 USD تک؛ لیول 2 کے لیے لامحدود (سنگین، جان بوجھ کر، یا لاپرواہ خلاف ورزیاں)
ڈیٹا پروٹیکشن امپیکٹ اسیسمنٹس: ہائی رسک پروسیسنگ کے لیے درکار ہے (جی ڈی پی آر آرٹیکل 35 کے طور پر وہی محرکات)
سیکٹر کے لیے مخصوص ڈیٹا پروٹیکشن کے تقاضے
ہیلتھ کیئر ڈیٹا
متحدہ عرب امارات کا ہیلتھ ڈیٹا قانون (وفاقی قانون نمبر 2/2019) اور دبئی ہیلتھ اتھارٹی کے ضوابط صحت کی دیکھ بھال کے ڈیٹا پر اضافی تقاضے عائد کرتے ہیں:
- ہیلتھ کیئر ڈیٹا شیئرنگ کے لیے مریض کی رضامندی درکار ہے (صحت عامہ اور تحقیق کے لیے مخصوص استثناء کے ساتھ)
- صحت کی دیکھ بھال کے ڈیٹا کو متحدہ عرب امارات کے اندر ذخیرہ کیا جانا چاہئے جب تک کہ سرحد پار منتقلی کی خصوصی طور پر اجازت نہ ہو۔
- الیکٹرانک ہیلتھ ریکارڈز کو مخصوص سیکورٹی اور انٹرآپریبلٹی معیارات پر پورا اترنا چاہیے۔
- دبئی ہیلتھ اتھارٹی ہیلتھ کیئر ڈیٹا کے لیے لازمی ڈیٹا لوکلائزیشن کی ضروریات کو برقرار رکھتی ہے۔
مالیاتی خدمات
UAE سینٹرل بینک اور سیکیورٹیز اینڈ کموڈٹیز اتھارٹی (SCA) کے پاس مالیاتی اداروں کے لیے ڈیٹا پروٹیکشن اور سائبر سیکیورٹی کے تقاضے ہیں۔ کلیدی ضروریات میں شامل ہیں:
- کسٹمر ڈیٹا کی درجہ بندی اور تحفظ حساسیت کے متناسب
- متعین ٹائم فریم کے اندر ڈیٹا کی خلاف ورزیوں کی صارف کی اطلاع
- رضامندی کے بغیر کسٹمر کے مالیاتی ڈیٹا کو شیئر کرنے پر پابندیاں
- سائبرسیکیوریٹی فریم ورک کی تعمیل (CBUAE سائبرسیکیوریٹی فریم ورک برائے بینک)
ٹیلی کمیونیکیشن ڈیٹا
ٹیلی کمیونیکیشن ریگولیٹری اتھارٹی (TRA) ٹیلی کام فراہم کنندگان کے ذریعے ذاتی ڈیٹا پروسیسنگ کو منظم کرتی ہے، بشمول:
- سبسکرائبر کی رازداری کے تحفظات
- کال کی تفصیل ریکارڈ تک رسائی کی پابندیاں
- مقام کے ڈیٹا کے تحفظات
- مخصوص ٹیلی کام ڈیٹا کے لیے ڈیٹا لوکلائزیشن کی ضروریات
UAE PDPL کے تحت خلاف ورزی کی اطلاع
UAE PDPL کے آرٹیکل 16 کے تحت کنٹرولرز کو مطلع کرنے کی ضرورت ہے:
- UAE ڈیٹا آفس: ذاتی ڈیٹا کی خلاف ورزی سے آگاہ ہونے کے 72 گھنٹوں کے اندر جس کے نتیجے میں ڈیٹا کے مضامین کو نقصان پہنچنے کا امکان ہے۔
- ڈیٹا مضامین: بغیر کسی تاخیر کے اگر خلاف ورزی کے نتیجے میں ان کے حقوق کو زیادہ خطرہ لاحق ہو سکتا ہے۔
UAEDO کی اطلاع میں شامل ہونا چاہیے:
- خلاف ورزی کی نوعیت
- زمرہ جات اور متاثرہ ڈیٹا مضامین کی تخمینی تعداد
- زمرے اور متاثرہ ذاتی ڈیٹا ریکارڈز کی تخمینی تعداد
- ڈی پی او سے رابطہ کی تفصیلات
- خلاف ورزی کے ممکنہ نتائج
- خلاف ورزی کو دور کرنے کے لیے اٹھائے گئے یا تجویز کردہ اقدامات
دستاویزات: یہاں تک کہ اگر کسی اطلاع کی ضرورت نہیں ہے (کیونکہ ڈیٹا کے مضامین کو خطرہ لاحق نہیں ہے)، خلاف ورزی کو حقائق، اثرات، اور تدارک کے اقدامات کے ساتھ اندرونی طور پر دستاویز کیا جانا چاہیے۔
PDPL جرمانے اور نفاذ
UAE ڈیٹا آفس (UAEDO) کے پاس نفاذ کے وسیع اختیارات ہیں جن میں تفتیش، انتظامی جرمانے، اور فوجداری معاملات کے لیے پبلک پراسیکیوشن کو ریفرل کرنا شامل ہے۔
انتظامی جرمانے:
- کنٹرولر/پروسیسر کی ذمہ داریوں کی خلاف ورزی پر AED 5 ملین ($1.36 ملین USD) تک جرمانہ
- حساس ڈیٹا کی خلاف ورزیوں یا ڈیٹا کے مضامین کو نقصان پہنچانے پر AED 20 ملین ($5.44 ملین USD) تک کا جرمانہ
مجرمانہ سزائیں: افواہوں اور سائبر کرائمز کا مقابلہ کرنے کا وفاقی قانون نمبر 34/2021 ڈیٹا سے متعلق بعض جرائم کے لیے PDPL کے ساتھ اوورلیپ ہوتا ہے۔ ڈیٹا سے متعلق مخصوص جرائم کے نتیجے میں 3 ملین درہم تک قید اور/یا جرمانہ ہو سکتا ہے۔
DIFC کمشنر کے جرمانے: سنگین خلاف ورزیوں پر لامحدود جرمانے؛ کم خلاف ورزیوں کے لیے $100,000۔ DIFC نے تاریخی طور پر شائع شدہ فیصلوں کے ساتھ فعال طور پر نافذ کیا ہے۔
UAE ڈیٹا پروٹیکشن کمپلائنس چیک لسٹ
- قابل اطلاق قانون ہر قانونی ادارے کے لیے متعین کیا گیا ہے (وفاقی PDPL، DIFC DP قانون، ADGM DPR، یا مجموعہ)
- ذاتی ڈیٹا انوینٹری تمام سسٹمز میں مکمل ہو گئی۔
- حساس ڈیٹا کی نشاندہی کی گئی اور تحفظات کو بڑھا دیا گیا۔
- ہر پروسیسنگ سرگرمی کے لیے دستاویزی قانونی بنیاد
- رازداری کا نوٹس شائع کیا گیا ہے جس میں تمام مطلوبہ انکشافات شامل ہیں۔
- جہاں ضرورت ہو ڈی پی او تعینات رابطے کی معلومات شائع
- ڈیٹا کے موضوع کے حقوق کے طریقہ کار کو دستاویز کیا گیا (30 دن کے جواب کی ٹائم لائن)
- پروسیسر کے معاہدوں کا جائزہ لیا گیا اور PDPL کی ضروریات کو اپ ڈیٹ کیا گیا۔
- سرحد پار منتقلی کا جائزہ مکمل ہو گیا — طریقہ کار موجود ہے۔
- اگر قابل اطلاق ہو تو ہیلتھ کیئر ڈیٹا لوکلائزیشن کا جائزہ لیا گیا۔
- حفاظتی اقدامات دستاویزی اور خطرے کے متناسب لاگو کیے گئے ہیں۔
- خلاف ورزی کی اطلاع کے طریقہ کار کو دستاویز کیا گیا (72 گھنٹے کی ٹائم لائن)
- PDPL/DIFC DP ذمہ داریوں پر ملازمین کی تربیت مکمل ہو گئی۔
- UAEDO رجسٹریشن کا اندازہ موجودہ ضوابط کے تحت کیا گیا۔
اکثر پوچھے گئے سوالات
UAE ڈیٹا کے تحفظ کا کون سا قانون میرے فری زون کے کاروبار پر لاگو ہوتا ہے؟
یہ آپ کے فری زون پر منحصر ہے۔ DIFC میں رجسٹرڈ کاروبار DIFC ڈیٹا پروٹیکشن قانون 2020 کے تابع ہیں، جو وفاقی PDPL سے آزاد ہے۔ ADGM میں کاروبار ADGM ڈیٹا پروٹیکشن ریگولیشنز 2021 کے تابع ہیں۔ دوسرے فری زونز (JAFZA, DMCC, Dubai Internet City, etc.) میں کاروبار عام طور پر فری زون کے اپنے ضوابط کے ساتھ ساتھ وفاقی PDPL کے تابع ہوتے ہیں۔ بہت سے معاملات میں، خاص طور پر سرزمین متحدہ عرب امارات اور فری زونز پر محیط آپریشنز کے لیے، متعدد فریم ورک لاگو ہوتے ہیں۔
کیا UAE PDPL کو ڈیٹا لوکلائزیشن کی ضرورت ہے؟
UAE PDPL خود ڈیٹا لوکلائزیشن کی ضروریات کو نافذ نہیں کرتا ہے - مناسب حفاظتی اقدامات کے تحت سرحد پار منتقلی کی اجازت ہے۔ تاہم، شعبے کے مخصوص ضوابط (خاص طور پر صحت کی دیکھ بھال اور مالیاتی خدمات) مخصوص ڈیٹا کیٹیگریز کے لیے لوکلائزیشن کی ضروریات کو نافذ کر سکتے ہیں۔ سنٹرل بینک آف یو اے ای کا سائبرسیکیوریٹی فریم ورک اور دبئی ہیلتھ اتھارٹی کے ضوابط کچھ ریگولیٹڈ ڈیٹا کے لیے ڈیٹا ریذیڈنسی کی ذمہ داریاں عائد کرتے ہیں۔ ہمیشہ PDPL کے علاوہ سیکٹر کی مخصوص ضروریات کو چیک کریں۔
UAE ڈیٹا پروٹیکشن کلاؤڈ سروسز پر کیسے لاگو ہوتا ہے؟
UAE کے کاروباروں کی جانب سے UAE کے ذاتی ڈیٹا پر کارروائی کرنے والے کلاؤڈ سروس فراہم کرنے والے PDPL کے تحت پروسیسرز ہیں۔ انہیں کنٹرولرز کے ساتھ پروسیسر کے معاہدے کرنا ہوں گے، مناسب حفاظتی اقدامات کو لاگو کرنا ہوگا، اور اگر ڈیٹا UAE سے باہر ذخیرہ کیا گیا ہے تو سرحد پار منتقلی کی ضروریات کی تعمیل کرنی ہوگی۔ کلاؤڈ سروسز استعمال کرنے والے متحدہ عرب امارات کے کاروباروں کو تصدیق کرنی چاہیے: کلاؤڈ فراہم کنندہ کی PDPL تعمیل کی کرنسی، آیا BAA/DPA موجود ہے، اور آیا ڈیٹا اسٹوریج کے مقام کو سرحد پار منتقلی کے طریقہ کار کی ضرورت ہے۔
AI اور خودکار فیصلہ سازی کے لیے UAE کا نقطہ نظر کیا ہے؟
UAE PDPL میں یہ حق شامل ہے کہ وہ مکمل طور پر خودکار پروسیسنگ پر مبنی فیصلوں کے تابع نہ ہو جو اہم قانونی یا اسی طرح کے اہم اثرات پیدا کرتے ہیں - درخواست پر انسانی مداخلت کی ضرورت ہوتی ہے۔ UAE نے AI اخلاقیات کا فریم ورک اور دبئی AI حکمت عملی 2031 بھی تیار کیا ہے، جو AI میں ڈیٹا کی رازداری اور اخلاقیات پر زور دیتا ہے۔ اہم فیصلوں کے لیے AI کا استعمال کرنے والے کاروبار (کریڈٹ اسکورنگ، HR اسکریننگ، کسٹمر کی درجہ بندی) کو PDPL کی ذمہ داریوں اور سیکٹر کے لیے مخصوص AI گورننس کی ضروریات دونوں کا جائزہ لینا چاہیے۔
UAE ڈیٹا کا تحفظ GDPR سے کیسے موازنہ کرتا ہے؟
UAE PDPL GDPR کے بنیادی اصولوں (قانونیت، انصاف، شفافیت، مقصد کی حد، ڈیٹا کو کم کرنا، درستگی، اسٹوریج کی حد، سیکورٹی، جوابدہی) اور اسی طرح کے ڈیٹا کے موضوع کے حقوق کا اشتراک کرتا ہے۔ تاہم، PDPL کچھ علاقوں میں کم نسخہ ہے — ٹائم لائنز، DPO اہلیت کے تقاضے، اور DPIA کے تقاضے GDPR سے کم تفصیلی ہیں۔ DIFC DP قانون 2020 ساخت اور تفصیل میں GDPR کے کافی قریب ہے۔ GDPR اور UAE PDPL دونوں سے مشروط تنظیمیں یہ پائیں گی کہ GDPR تعمیل PDPL کی تعمیل کے لیے ایک مضبوط بنیاد بناتی ہے، جس میں UAE کے لیے مخصوص اضافے کی ضرورت ہے۔
اگلے اقدامات
UAE کے پیچیدہ کثیر پرت والے ڈیٹا پروٹیکشن ماحول — وفاقی PDPL, DIFC, ADGM، اور سیکٹر کے ضوابط — کے لیے ایک منظم تعمیل نقطہ نظر کی ضرورت ہے جو ہر متعلقہ قانونی ادارے اور ڈیٹا کے بہاؤ کے لیے ذمہ داریوں کا نقشہ بنائے۔ ECOSIRE کی ٹیم کو UAE کے فری زون اور مین لینڈ کے ماحول میں تعمیل کرنے کا تجربہ ہے، خاص طور پر ٹیکنالوجی پلیٹ فارم کے نفاذ میں مہارت کے ساتھ جو بیک وقت متعدد ریگولیٹری تقاضوں کو پورا کرتے ہیں۔
شروع کریں: ECOSIRE سروسز
ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی مشورے پر مشتمل نہیں ہے۔ UAE کے ڈیٹا پروٹیکشن قوانین تیار ہو رہے ہیں اور یہ گائیڈ 2026 کے اوائل کے تقاضوں کی عکاسی کرتی ہے۔ اپنی تنظیم اور دائرہ اختیار سے متعلق مخصوص مشورے کے لیے UAE کے اہل قانونی مشیر سے مشورہ کریں۔
تحریر
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
متعلقہ مضامین
blog.posts.erp-for-chemical-industry.title
blog.posts.erp-for-chemical-industry.description
blog.posts.erp-for-import-export-trading.title
blog.posts.erp-for-import-export-trading.description
blog.posts.odoo-erp-uae-dubai-business-guide.title
blog.posts.odoo-erp-uae-dubai-business-guide.description
Compliance & Regulation سے مزید
blog.posts.cybersecurity-ecommerce-business-guide-2026.title
blog.posts.cybersecurity-ecommerce-business-guide-2026.description
blog.posts.erp-for-chemical-industry.title
blog.posts.erp-for-chemical-industry.description
blog.posts.erp-for-import-export-trading.title
blog.posts.erp-for-import-export-trading.description
blog.posts.sustainability-esg-reporting-erp-guide.title
blog.posts.sustainability-esg-reporting-erp-guide.description
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.