|
پرسنل ڈیٹا پروٹیکشن ایکٹ باضابطہ طور پر یکم جنوری 2026 سے نافذ العمل ہوگا۔ تصویر: بلومبرگ ۔ |
ذاتی ڈیٹا کے تحفظ کا قانون 1 جنوری 2026 سے نافذ العمل ہوگا۔ جون 2025 میں قومی اسمبلی کے ذریعے نافذ کیا گیا، یہ ڈیجیٹل تبدیلی کے تناظر میں ویتنام میں رازداری کے حقوق کے قانونی فریم ورک کو مکمل کرنے کے لیے ایک نیا قدم ہے۔
5 ابواب اور 39 مضامین پر مشتمل، ذاتی ڈیٹا کے تحفظ کا قانون ذاتی ڈیٹا، اس کے تحفظ، اور متعلقہ ایجنسیوں، تنظیموں اور افراد کے حقوق، ذمہ داریوں اور ذمہ داریوں کی واضح طور پر وضاحت کرنے کے لیے بنایا گیا تھا۔
قانون کا نفاذ بھی ایک نئے مرحلے کا آغاز کرتا ہے، جس سے ایجنسیوں، تنظیموں اور کاروباروں کو اس بات کو ایڈجسٹ کرنے پر مجبور کیا جاتا ہے کہ وہ کس طرح شفاف طریقے سے معلومات اکٹھا کرتے ہیں اور اس پر کارروائی کرتے ہیں، صارفین کو مزید حقوق کے ساتھ بااختیار بناتے ہیں۔
صارف کے ڈیٹا کے حوالے سے سوشل میڈیا پلیٹ فارمز کی ذمہ داری۔
انٹرنیٹ صارفین پر قانون کے بڑے اثرات میں سے ایک آرٹیکل 29 میں ہے، جو سوشل میڈیا پلیٹ فارمز اور آن لائن کمیونیکیشن سروسز پر ذاتی ڈیٹا کے تحفظ سے متعلق ہے۔ قانون ڈیٹا اکٹھا کرنے کے لیے مخصوص حدود اور ضوابط طے کرتا ہے۔
اس کے مطابق، آرٹیکل 29 کی شق 1 سوشل میڈیا سروسز اور آن لائن مواصلاتی خدمات فراہم کرنے والی تنظیموں اور افراد سے مطالبہ کرتی ہے کہ وہ صارفین کو اس ڈیٹا کے بارے میں واضح طور پر مطلع کریں جو وہ سروس کو انسٹال اور استعمال کرتے وقت جمع کریں گے، اور غیر قانونی طور پر یا معاہدے کے دائرہ کار سے باہر ڈیٹا اکٹھا کرنے سے گریز کریں۔
آرٹیکل 29 کی شق 2 اکاؤنٹ کی تصدیق کے طور پر شناختی دستاویزات کی مکمل (یا جزوی) کاپیوں پر مشتمل تصاویر یا ویڈیوز کی درخواست کرنے سے منع کرتی ہے۔ یہ ایک اہم تبدیلی ہے، کیونکہ بہت سے پلیٹ فارمز پہلے صارفین کو اپنے شہری شناختی کارڈ، پاسپورٹ وغیرہ کی تصاویر لینے کے لیے اپنی معلومات کو غیر مقفل کرنے یا تصدیق کرنے کی ضرورت پیش کرتے تھے۔
|
فیس بک کی شناخت کی توثیق اسکرین۔ |
صارفین کے پاس اپنی پرائیویسی کو کنٹرول کرنے کے لیے بہت سے اختیارات ہوتے ہیں، کیونکہ آرٹیکل 29 کی شق 3-4 کے تحت پلیٹ فارمز کو کوکیز کو جمع کرنے اور شیئر کرنے سے انکار کرنے، "ٹریک نہ کریں" کا اختیار پیش کرنے، یا صرف رضامندی کے ساتھ استعمال کی سرگرمی کو ٹریک کرنے کے لیے اختیارات فراہم کرنے کی ضرورت ہوتی ہے۔
سوشل میڈیا استعمال کرتے وقت رازداری کے حقوق بھی سختی سے محفوظ ہیں۔ آرٹیکل 29 کی شق 5 واضح طور پر کہتی ہے کہ "ڈیٹا کے موضوع کی رضامندی کے بغیر کالیں سننا، چھپنا، یا ریکارڈ کرنا اور ٹیکسٹ پیغامات پڑھنا منع ہے، سوائے اس کے کہ قانون کے ذریعہ فراہم کیا گیا ہو۔"
آخر میں، آرٹیکل 29 کی شق 6 پلیٹ فارمز سے اپنی رازداری کی پالیسیوں کو عوامی طور پر ظاہر کرنے کا تقاضا کرتی ہے، واضح طور پر یہ بتاتی ہے کہ وہ ذاتی ڈیٹا کیسے اکٹھا، استعمال اور شیئر کرتے ہیں۔
اس کے ساتھ ہی، پلیٹ فارم کو صارفین کو ڈیٹا تک رسائی، تدوین، حذف کرنے اور ذاتی ڈیٹا کے لیے پرائیویسی سیٹنگز سیٹ کرنے کا طریقہ کار فراہم کرنے کی ضرورت ہے۔ اسے سیکیورٹی اور رازداری کی خلاف ورزیوں کی اطلاع دینی چاہیے، سرحدوں کے پار ڈیٹا منتقل کرتے وقت ویتنام کے شہریوں کے ذاتی ڈیٹا کی حفاظت کرنی چاہیے، اور ڈیٹا کے تحفظ کی خلاف ورزیوں کو جلد اور مؤثر طریقے سے سنبھالنے کے لیے ایک عمل قائم کرنا چاہیے۔
خاموشی کا مطلب رضامندی نہیں ہے۔
نیا قانون ڈیٹا اکٹھا کرنے اور پروسیسنگ کے حوالے سے صارف کی رضامندی کی بھی وضاحت کرتا ہے۔ اس کے مطابق، آرٹیکل 9 کی شق 1 کہتی ہے کہ رضامندی "ایک ڈیٹا کے موضوع کا عمل ہے جو ان کے ذاتی ڈیٹا کی پروسیسنگ کی اجازت دیتا ہے، سوائے اس کے جہاں قانون دوسری صورت میں فراہم کرتا ہو۔"
آرٹیکل 9 کی شق 2 یہ بتاتی ہے کہ رضامندی صرف رضاکارانہ بنیادوں پر درست ہے اور اس کے لیے درج ذیل معلومات کے مکمل علم کی ضرورت ہے: ذاتی ڈیٹا کی قسم جس پر کارروائی کی جا رہی ہے، ڈیٹا پر کارروائی کا مقصد؛ ڈیٹا کنٹرولر یا ڈیٹا کو کنٹرول کرنے اور اس پر کارروائی کرنے والی پارٹی؛ اور ذاتی ڈیٹا کے موضوع کے حقوق اور ذمہ داریاں۔
صارف کی رضامندی کو شق 4، آرٹیکل 9 میں بیان کردہ چار اصولوں پر عمل کرنا چاہیے: ہر مقصد کے لیے رضامندی کا اظہار؛ معاہدے میں بیان کردہ مقاصد کے علاوہ دیگر مقاصد کے لیے رضامندی کی ضرورت والی شرائط شامل نہیں؛ اور رضامندی اس وقت تک درست رہتی ہے جب تک کہ ڈیٹا کا موضوع اپنی رضامندی کو تبدیل نہیں کرتا (یا جیسا کہ قانون کی ضرورت ہے)۔ آخر میں، خاموشی یا جواب دینے میں ناکامی کو رضامندی نہیں سمجھا جاتا ہے۔
ڈیٹا پروسیسنگ کے لیے صارف کی رضامندی مستقل وابستگی نہیں ہے۔ شق 1، آرٹیکل 10 کے مطابق، ڈیٹا کے موضوع کو رضامندی سے دستبرداری کی درخواست کرنے یا ڈیٹا کی پروسیسنگ کو محدود کرنے کا حق حاصل ہے اگر ڈیٹا کے دائرہ کار، پروسیسنگ کے مقصد، یا درستگی کے بارے میں شبہات ہوں، سوائے اس کے کہ آرٹیکل 19 میں بیان کیا گیا ہو یا جیسا کہ قانون کے ذریعہ فراہم کیا گیا ہو۔
|
iOS پر صارفین کو ٹریک کرنے کی اجازت کی درخواست کرنے والی اطلاع۔ تصویر: موافقت ۔ |
جب کوئی صارف ڈیٹا پروسیسنگ کو روکنے کی درخواست کرتا ہے، تو ڈیٹا کنٹرولر کو فوری طور پر اس کی تعمیل کرنی چاہیے۔ آرٹیکل 10 کی شق 3 کہتی ہے کہ یونٹ کو لازمی طور پر "پرسنل ڈیٹا پروسیسنگ پارٹی کو قانون کی طرف سے مقرر کردہ وقت کے اندر ڈیٹا کے موضوع کے ذاتی ڈیٹا کی پروسیسنگ پر رضامندی یا پابندی کو واپس لینے کے لیے وصول کرنا، اس پر عمل درآمد کرنا اور اس کا تقاضا کرنا چاہیے۔"
قانون کی شق 1، آرٹیکل 19 کچھ ایسے معاملات کو متعین کرتا ہے جہاں صارف کی رضامندی کے بغیر ڈیٹا پر کارروائی کی جا سکتی ہے، بشمول ہنگامی حالات میں ڈیٹا کے موضوع یا دیگر افراد کی جان، صحت، عزت، وقار، حقوق، اور جائز مفادات کے تحفظ کے لیے پروسیسنگ۔
دیگر معاملات میں اپنے جائز حقوق یا مفادات، دوسروں کے حقوق یا مفادات، یا ریاست، ایجنسیوں، یا تنظیموں کے مفادات کا تحفظ ان مفادات کی خلاف ورزی کرنے والی کارروائیوں کے خلاف ضروری انداز میں، یا ہنگامی حالات کو حل کرنے کے معاملات میں شامل ہیں۔ ان میں قومی سلامتی کو لاحق خطرات شامل ہیں جو ہنگامی حالت کے اعلان کی ضمانت نہیں دیتے۔ فسادات، دہشت گردی، جرائم اور قانون کی خلاف ورزیوں کی روک تھام اور ان کا مقابلہ کرنا...
اشتہارات میں ڈیٹا پروسیسنگ کے ضوابط۔
قانون بعض سرگرمیوں میں ذاتی ڈیٹا کی حفاظت کے ضوابط کی بھی وضاحت کرتا ہے۔ مثال کے طور پر، آرٹیکل 28 اشتہاری خدمات میں ذاتی ڈیٹا جمع کرنے کو منظم کرے گا۔ کاروبار صارف کی رضامندی کے بغیر آزادانہ طور پر ڈیٹا استعمال نہیں کر سکتے۔
شق 3، آرٹیکل 28 کے مطابق، اشتہاری خدمات کے لیے ذاتی ڈیٹا کی پروسیسنگ کے لیے صارف کی رضامندی کی ضرورت ہوتی ہے۔ صارفین کو پروڈکٹ کے تعارف کے مواد، طریقوں، فارمز اور فریکوئنسی سے پوری طرح آگاہ ہونا چاہیے، اور ان کے پاس اشتہارات وصول کرنے سے آپٹ آؤٹ کرنے کا اختیار بھی ہونا چاہیے۔
صارفین کو اشتہاری خدمات سے معلومات حاصل کرنے سے روکنے کی درخواست کرنے کا حق بھی حاصل ہے۔ اشتہاری خدمات فراہم کرنے والی تنظیموں اور افراد کو لازمی طور پر ایک طریقہ کار فراہم کرنا چاہیے اور ڈیٹا سبجیکٹ کی درخواست پر اشتہارات وصول کرنا بند کر دینا چاہیے، جیسا کہ شق 5، آرٹیکل 28 میں بیان کیا گیا ہے۔
اشتہارات کے لیے جو مخصوص طرز عمل، اہداف، یا ذاتی نوعیت کو نشانہ بناتے ہیں، آرٹیکل 28 کی شق 8 میں یہ شرط رکھی گئی ہے کہ ڈیٹا صرف مانیٹرنگ ویب سائٹس، پورٹلز اور رضامندی کے ساتھ ایپلی کیشنز کے ذریعے جمع کیا جا سکتا ہے۔
|
یہ اسکرین آپ کو Google پر ذاتی تشہیر کی معلومات کو حسب ضرورت بنانے کی اجازت دیتی ہے۔ |
ذاتی ڈیٹا کے تحفظ کے ضوابط میں شامل دیگر سرگرمیوں میں بچوں، معذور یا محدود شہری صلاحیت کے حامل افراد (آرٹیکل 24)، کارکنوں کی بھرتی، انتظام اور ملازمت (آرٹیکل 25)، صحت کی معلومات اور انشورنس کاروباری سرگرمیاں (آرٹیکل 26)، مالیاتی، بینکنگ، اور کریڈٹ کی معلومات کی سرگرمیاں (آرٹیکل 27) شامل ہیں۔
آرٹیکل 29 سوشل میڈیا پلیٹ فارمز اور آن لائن کمیونیکیشن سروسز کے لیے ڈیٹا کے تحفظ کو منظم کرتا ہے، جب کہ آرٹیکل 30 بڑے ڈیٹا پروسیسنگ، مصنوعی ذہانت، بلاک چین، ورچوئل یونیورسز اور کلاؤڈ کمپیوٹنگ میں ڈیٹا کے تحفظ کو منظم کرتا ہے۔
آرٹیکل 31 ذاتی لوکیشن ڈیٹا اور بائیو میٹرک ڈیٹا کے تحفظ کو یقینی بناتا ہے۔ آرٹیکل 32 عوامی مقامات اور عوامی سرگرمیوں میں آڈیو اور ویڈیو ریکارڈنگ سے جمع کیے گئے ڈیٹا کے تحفظ کا احاطہ کرتا ہے۔
خاص طور پر، شق 8 کا نقطہ بی، آرٹیکل 28 کہتا ہے کہ ایک ایسا طریقہ ہونا چاہیے جو صارفین کو ڈیٹا شیئرنگ سے انکار کرنے کی اجازت دے، اور ڈیٹا کو حذف یا تباہ کر دیا جائے جب اس کی مزید ضرورت نہ ہو۔
صارفین کے حقوق اور ذمہ داریاں بھی نکتہ d، شق 1، آرٹیکل 4 میں واضح طور پر بیان کی گئی ہیں، صارفین کے ڈیٹا کی درخواست کرنے، حذف کرنے یا اس کی پروسیسنگ پر پابندی لگانے اور ذاتی ڈیٹا کی پروسیسنگ پر اعتراضات جمع کرنے کے حق اور ذمہ داریوں کے بارے میں۔ اس کے علاوہ، پوائنٹ ای اشارہ کرتا ہے کہ صارف شکایات، مذمت، مقدمہ درج کر سکتے ہیں، اور قانون کے مطابق نقصانات کے معاوضے کا دعویٰ کر سکتے ہیں۔
ذاتی ڈیٹا کی خرید و فروخت پر بھاری جرمانے۔
آرٹیکل 7 کی شق 6 کے مطابق، ذاتی ڈیٹا کی خرید و فروخت بھی ممنوع ہے۔
آرٹیکل 7 دیگر ممنوعہ کارروائیوں کی بھی وضاحت کرتا ہے، بشمول ریاست کی مخالفت کے لیے ذاتی ڈیٹا پر کارروائی کرنا، ذاتی ڈیٹا کے تحفظ کی سرگرمیوں میں رکاوٹ ڈالنا، ڈیٹا کے تحفظ کی سرگرمیوں کو غیر قانونی سرگرمیوں کے لیے استعمال کرنا، اور قانونی ضوابط کی خلاف ورزی کرتے ہوئے ڈیٹا پر کارروائی کرنا۔
قانون غلط استعمال کرنے، جان بوجھ کر افشاء کرنے، یا ذاتی ڈیٹا کو کھونے کے علاوہ دوسرے لوگوں کا ڈیٹا استعمال کرنے، یا دوسروں کو اپنا ڈیٹا استعمال کرنے، غیر قانونی کام کرنے کی اجازت دینے سے بھی منع کرتا ہے۔
ضابطوں کی خلاف ورزی کرنے کے جرمانے آرٹیکل 8 میں واضح طور پر بیان کیے گئے ہیں، بشمول انتظامی پابندیاں یا فوجداری قانونی کارروائی کے ساتھ ساتھ ہونے والے نقصانات کا معاوضہ۔
|
ذاتی ڈیٹا کی خرید و فروخت قانون کے تحت جرمانے سے مشروط ہوگی۔ تصویر: نیویارک ٹائمز |
خاص طور پر، آرٹیکل 8 کی شق 3 یہ بتاتی ہے کہ ذاتی ڈیٹا کی خرید و فروخت پر زیادہ سے زیادہ جرمانہ خلاف ورزی سے حاصل ہونے والی آمدنی کا 10 گنا ہے۔ اگر ایکٹ سے کوئی آمدنی نہیں ہے، یا محصول زیادہ سے زیادہ مقرر کردہ جرمانے سے کم ہے، تو شق 5 لاگو ہوگی۔
سرحد پار ڈیٹا کی منتقلی سے متعلق خلاف ورزیوں کے لیے، آرٹیکل 8 کی شق 4 پچھلے سال میں خلاف ورزی کرنے والی تنظیم کی آمدنی کے 5% کے برابر جرمانہ لاگو کرتی ہے۔ اگر پچھلے سال سے کوئی آمدنی نہیں ہے یا جرمانہ شق 5 کے تحت زیادہ سے زیادہ جرمانے سے کم ہے، تو شق 5 کے تحت جرمانہ لاگو ہوگا۔
مقابلے کے لیے، GDPR جیسے بین الاقوامی ضابطے جرم کی نوعیت اور شدت کے لحاظ سے، سالانہ آمدنی کی بنیاد پر جرمانے یا جرمانے بھی لاگو کرتے ہیں۔
آرٹیکل 8 کی شق 5 میں کہا گیا ہے کہ ڈیٹا کے تحفظ کے شعبے میں دیگر خلاف ورزیوں کے لیے انتظامی جرمانے کے لیے زیادہ سے زیادہ جرمانہ 3 بلین VND (تنظیموں کے لیے) ہے۔ اگر خلاف ورزی کا ارتکاب کسی فرد سے ہوتا ہے تو، آرٹیکل 8 کی شق 6 میں کہا گیا ہے کہ زیادہ سے زیادہ جرمانہ تنظیموں پر عائد کی جانے والی نصف رقم ہے۔
کارپوریٹ ذمہ داری
قانون ڈیٹا پروسیسنگ کی جانچ اور وضاحت میں جوابدہی کے تقاضے بھی متعین کرتا ہے۔ آرٹیکل 21 کی شق 1 ڈیٹا کنٹرولر سے اثر کی تشخیص کا ریکارڈ قائم کرنے اور اسے برقرار رکھنے کا تقاضا کرتی ہے۔ یہ ریکارڈ ڈیٹا پروسیسنگ کی پہلی تاریخ کے 60 دنوں کے اندر متعلقہ ایجنسی کو جمع کرانا ضروری ہے۔
کسی واقعے کی صورت میں، آرٹیکل 23 کی شق 1 ڈیٹا کنٹرولر سے مطالبہ کرتی ہے کہ وہ خلاف ورزی کا پتہ لگانے کے 72 گھنٹوں کے اندر خلاف ورزی کی مجاز اتھارٹی کو مطلع کرے۔ اس طرح کے واقعات قومی دفاع، قومی سلامتی، امن عامہ، سماجی تحفظ کو نقصان پہنچا سکتے ہیں، یا ڈیٹا کے موضوع کی زندگی، صحت، عزت، وقار، یا جائیداد کی خلاف ورزی کر سکتے ہیں۔
موافقت پذیری میں کاروبار کی مدد کرنے کے لیے، آرٹیکل 38 کی شق 2 کہتی ہے کہ چھوٹے کاروباروں اور اسٹارٹ اپس کو یہ حق حاصل ہے کہ وہ اثرات کی تشخیص کے ضوابط کو نافذ کریں یا نہ کریں، اسسمنٹ ریکارڈ کو اپ ڈیٹ کریں، اور قانون کے نافذ ہونے کی تاریخ سے پہلے پانچ سالوں کے اندر خلاف ورزیوں کی تصدیق کرنے والے ریکارڈ بنائیں۔
|
نئے ضوابط ذاتی ڈیٹا کا انتظام کرنے والی کمپنیوں کو زیادہ ذمہ دار بناتے ہیں۔ (مثال: Xuan Sang ) |
تاہم، آرٹیکل 38 کی شق 2 واضح کرتی ہے کہ یہ رعایت ان کاروباروں پر لاگو نہیں ہوتی جو ڈیٹا پروسیسنگ کی خدمات فراہم کرتے ہیں، براہ راست حساس ڈیٹا پر کارروائی کرتے ہیں، یا بڑی مقدار میں ڈیٹا پر کارروائی کرتے ہیں۔
آرٹیکل 38 کی شق 3 گھریلو کاروباروں اور مائیکرو انٹرپرائزز کے لیے بھی اسی طرح کے استثنیٰ کے طریقہ کار کا اطلاق کرتی ہے، سوائے ڈیٹا ٹریڈنگ یا حساس ڈیٹا کی پروسیسنگ کے معاملات کے۔
آرٹیکل 39 میں عبوری دفعات بھی تسلسل کو یقینی بناتی ہیں۔ ڈیٹا پروسیسنگ کی سرگرمیاں جن پر قانون کے نافذ ہونے سے پہلے اتفاق کیا گیا تھا، مزید منظوری یا دوبارہ گفت و شنید کی ضرورت کے بغیر جاری رہ سکتی ہے، جیسا کہ آرٹیکل 39 کے پیراگراف 1 میں بیان کیا گیا ہے۔
ماخذ: https://znews.vn/du-lieu-ca-nhan-duoc-ton-trong-hon-bao-gio-het-post1615267.html
تبصرہ (0)