جنرل ڈیٹا پروٹیکشن ریگولیشن کا آرٹیکل 15 — جو کہ Algemene Verordening Gegevensbescherming (AVG) کے ذریعے ڈچ قانون میں سرایت کرتا ہے — ہر فرد کو یہ معلوم کرنے کا غیر مبہم حق دیتا ہے کہ آیا کوئی تنظیم اپنے ذاتی ڈیٹا پر کارروائی کرتی ہے، ایک کاپی حاصل کرتی ہے، اور ارد گرد کے سیاق و سباق جیسے مقاصد، وصول کنندگان اور وصول کرنے کی مدت کو دیکھنے کا۔ یہ حق شفافیت اور جوابدہی کی ریڑھ کی ہڈی ہے: یہ افراد کو یہ جانچنے دیتا ہے کہ ان کے بارے میں کیا رکھا گیا ہے اور کمپنیوں کو مجبور کرتا ہے کہ وہ اپنے ڈیٹا کے طریقوں کو صاف، دستاویزی اور قابل دفاع رکھیں۔
چاہے آپ خود اپنی HR فائل کی درخواست کر رہے ہوں یا کسی صارف کی موضوع تک رسائی کی درخواست کا جواب دینے کی تیاری کر رہے ہوں، آرٹیکل 15 کے درست دائرہ کار اور حدود کو جاننا جرمانے، تنازعات اور شہرت کو پہنچنے والے نقصان کے خطرے کو کم کرتا ہے۔ اس کے بعد آنے والے صفحات میں ہم قانونی متن کا سادہ انگریزی میں ترجمہ کرتے ہیں، ڈیٹا کے مضامین کو مرحلہ وار درخواست کے سانچے کے ذریعے چلتے ہیں، ٹائم لائنز، فیسوں اور ریڈیکشن ڈیوٹی پر کنٹرولرز کی رہنمائی کرتے ہیں، Autoriteit Personsgegevens کے نافذ کردہ ڈچ کے مخصوص قوانین کو جھنڈا لگاتے ہیں، اور دونوں اطراف کے لیے عملی چیک لسٹ کے ساتھ بند کرتے ہیں۔
سادہ انگریزی میں آرٹیکل 15 AVG کو ڈی کوڈ کرنا
"ڈیٹا سبجیکٹ کو کنٹرولر سے تصدیق حاصل کرنے کا حق حاصل ہوگا کہ آیا اس کے متعلق ذاتی ڈیٹا پر کارروائی ہو رہی ہے یا نہیں، اور جہاں ایسا ہے، ذاتی ڈیٹا تک رسائی..." - آرٹیکل 15(1) GDPR
سادہ زبان میں: آپ کسی بھی تنظیم سے پوچھ سکتے ہیں۔ "کیا آپ میرے بارے میں ڈیٹا ذخیرہ کرتے ہیں؟ اگر ہاں، تو مجھے دکھائیں کہ آپ اسے کیا، کیوں، کس کے ساتھ بانٹتے ہیں، اور آپ اسے کب تک رکھتے ہیں۔" یہ جی ڈی پی آر کے تحت رسائی کے حق کا نچوڑ ہے۔ ہالینڈ میں AVG کے آرٹیکل 15 کا دائرہ کار یکساں ہے کیونکہ ڈچ Uitvoeringswet AVG مادہ کو تبدیل کیے بغیر نفاذ کو محض مقامی بناتا ہے۔
جب آپ درخواست دائر کرتے ہیں، تو آپ آٹھ ٹھوس اشیاء کے حقدار ہوتے ہیں:
- پروسیسنگ کی تصدیق
- ذاتی ڈیٹا کی ایک کاپی
- پروسیسنگ کے مقاصد
- ڈیٹا کے زمرے شامل ہیں۔
- وصول کنندگان یا وصول کنندگان کے زمرے
- منصوبہ بند اسٹوریج کی مدت یا اس کا تعین کرنے کا معیار
- دوسرے GDPR حقوق جو آپ استعمال کر سکتے ہیں۔
- EEA سے باہر کسی بھی منتقلی کے لیے حفاظتی اقدامات
حق ذاتی ہے — صرف ڈیٹا کا موضوع (یا ایک درست نمائندہ) اس کی درخواست کر سکتا ہے — اور یہ ہے۔ مطلق آپ کا اپنا ڈیٹا وصول کرنے کے لیے۔ تاہم، جب دوسرے بنیادی حقوق (تجارتی راز، تیسرے فریق کی رازداری) کو نقصان پہنچے گا تو کنٹرولرز رسائی کو تراش سکتے ہیں یا انکار کر سکتے ہیں۔
قانونی متن بمقابلہ عام آدمی کی شرائط
| آرٹیکل 15 شق | اس کا واقعی کیا مطلب ہے۔ |
|---|---|
| 15 (1) تصدیق کے | اگر وہ آپ کے ڈیٹا پر کارروائی کرتے ہیں تو "ہاں/نہیں" سے پوچھیں۔ |
| 15 (1) تک رسائی حاصل | اصل ڈیٹا اور سیاق و سباق حاصل کریں۔ |
| 15 (1) (c) وصول کنندگان | جانیں کہ فرم کے اندر یا باہر کون ڈیٹا دیکھتا یا حاصل کرتا ہے۔ |
| 15 (2) تیسرے ملک کی منتقلی | EEA سے باہر بھیجے گئے ڈیٹا اور استعمال شدہ تحفظات کے بارے میں معلوم کریں۔ |
| 15 (3) کاپی | دوبارہ قابل استعمال ڈیجیٹل فارمیٹ میں معلومات مفت وصول کریں۔ |
ایک نظر میں اہم ٹیک ویز
- ایک کنٹرولر کتنا وقت لے سکتا ہے؟ ایک مہینہپیچیدہ کیسز کے لیے تین تک قابل توسیع۔
- کیا وہ مجھ سے چارج کر سکتے ہیں؟ نہیں، جب تک کہ درخواست "ظاہر طور پر بے بنیاد یا ضرورت سے زیادہ" نہ ہو۔
- میں کس فارمیٹ میں ڈیٹا حاصل کروں گا؟ محفوظ الیکٹرانک فائل (مثال کے طور پر، PDF یا CSV) جب تک کہ آپ دوسری صورت میں نہ پوچھیں۔
- کیا مجھے ایک خاص فارم استعمال کرنا چاہیے؟ نہیں; ای میل، خط، یا یہاں تک کہ ایک فون کال بھی شمار ہوتی ہے۔
- اگر وہ مجھ پر کچھ نہیں رکھتے تو کیا ہوگا؟ انہیں اسی ڈیڈ لائن کے اندر تحریری طور پر کہنا چاہیے۔
کون حق کا استعمال کر سکتا ہے اور کس کی طرف؟
آرٹیکل 4(1) کے تحت GDPR a ڈیٹا کا موضوع کوئی بھی زندہ، قابل شناخت فطری شخص ہے—چاہے گاہک، ملازم، مریض، یا نابالغ شاگرد۔ ان میں سے ہر ایک GDPR کے تحت رسائی کے حق کا مطالبہ کر سکتا ہے: AVG کے آرٹیکل 15 کا دائرہ عمر، قومیت یا رہائش کے لحاظ سے امتیازی سلوک نہیں کرتا ہے۔ درخواستوں پر توجہ دی جانی چاہیے۔ کنٹرولر: وہ پارٹی جو فیصلہ کرتی ہے۔ کیوں اور کس طرح ڈیٹا پر عملدرآمد کیا جاتا ہے. ایک کلاؤڈ فراہم کنندہ یا پے رول بیورو جو محض ڈیٹا کو اسٹور کرتا ہے a پروسیسر; اسے کنٹرولر کو درخواست بھیجنی چاہیے لیکن براہ راست ہدایات سے انکار نہیں کر سکتا۔
ڈچ باشندے اپنی درخواست کا مقصد کسی غیر ملکی کمپنی سے بھی کر سکتے ہیں جو ڈچ مارکیٹ کو نشانہ بناتی ہے (مثلاً، آئرش میں مقیم سوشل نیٹ ورک)۔ ایک ماہ کی گھڑی اس لمحے سے شروع ہوتی ہے جب کنٹرولر کو درخواست موصول ہوتی ہے، قطع نظر اس کے کہ اس کے سرور کہاں رہتے ہیں۔
خاص حالات: نمائندے، فوت شدہ افراد، والدین اور سرپرست
- نابالغ اور معذور بالغ: والدین، سرپرست، یا کیوریٹر ڈچ سول کوڈ کی کتاب 1 کے تحت ان کی طرف سے کام کر سکتے ہیں۔
- اسکول اور آجروں: شاگرد اور ملازمین خود سبجیکٹ تک رسائی کی درخواست (SAR) فائل کر سکتے ہیں؛ نمائندے اختیاری ہیں، ضروری نہیں۔
- متوفی افراد GDPR سے باہر ہیں، پھر بھی ڈاکٹروں، نوٹریوں، اور بیمہ کنندگان کو متعلقہ فائلوں کو ظاہر کرنے سے پہلے پیشہ ورانہ رازداری کے اصولوں کا احترام کرنا چاہیے۔
مشترکہ نظاموں میں کنٹرولرز کی مشترکہ ذمہ داری
جب دو یا دو سے زیادہ تنظیمیں۔ مشترکہ طور پر پروسیسنگ کے مقاصد یا ذرائع کا تعین کریں (آرٹیکل 26 جی ڈی پی آر) — مثال کے طور پر، ایک آجر اور اس کا HR-سافٹ ویئر فروش — وہ ہیں مشترکہ کنٹرولرز. انہیں شفاف طور پر اس بات سے اتفاق کرنا چاہیے کہ کون آرٹیکل 15 کی درخواستوں کا جواب دیتا ہے، اور ڈیٹا کے موضوع کو مطلع کرتا ہے، لیکن اگر دوسرا گیند چھوڑتا ہے تو ہر ایک ذمہ دار رہتا ہے۔
کیا ظاہر کرنا ضروری ہے: ڈیٹا اور اضافی معلومات
جب آپ GDPR کے تحت رسائی کے حق کا مطالبہ کرتے ہیں، تو AVG کے آرٹیکل 15 کا دائرہ کنٹرولر کو دو چیزوں کے حوالے کرنے کا پابند کرتا ہے: اصل ذاتی ڈیٹا اور ایک پیکج متعلقہ تفصیلات. اس کے بارے میں سوچیں کہ تصویر اور اس کا کیپشن دونوں موصول ہو رہے ہیں۔ قانون سازی انکشاف ڈیوٹی کو آٹھ بالٹیوں میں تقسیم کرتی ہے، جو ذیل میں درج ہیں۔
| فن 15(1) آئٹم | جو آپ کو وصول کرنا چاہئے۔ |
|---|---|
| (a) تصدیق | ایک واضح ہاں نہیں چاہے آپ کے ڈیٹا پر کارروائی ہو؟ |
| (b) مقاصد | ڈیٹا موجود ہونے کی وجوہات (مثلاً پے رول، مارکیٹنگ) |
| (c) زمرہ جات | قسمیں جیسے رابطے کی تفصیلات، خریداری کی تاریخ، GPS لاگ |
| (d) وصول کنندگان | اندرونی ٹیمیں۔ اور بیرونی شراکت دار یا پروسیسرز |
| (e) برقرار رکھنا | درست مدت یا معیار (مثال کے طور پر، "ٹیکس قانون کے لیے 7 سال") |
| (f) حقوق | یاد دہانی آپ اصلاح، مٹا، پابندی، اعتراض، شکایت کر سکتے ہیں۔ |
| (g) ماخذ | اگر آپ سے ڈیٹا اکٹھا نہیں کیا گیا تو کہاں سے آیا؟ |
| (h) منتقلی | EEA سے باہر کسی بھی کھیپ کے لیے حفاظتی اقدامات |
ذاتی ڈیٹا نام اور نمبر سے زیادہ ہے۔ اس میں رویے کے پروفائلز، تخمینہ شدہ کریڈٹ اسکورز، CCTV فوٹیج، آواز کی ریکارڈنگ، ڈیوائس IDs، اور یہاں تک کہ بظاہر مدھم میٹا ڈیٹا جیسے کہ لاگ ان ٹائم اسٹیمپز کا احاطہ کیا گیا ہے—ہر وہ چیز جسے براہ راست یا بالواسطہ طور پر، کسی قابل شناخت شخص سے جوڑا جا سکتا ہے۔
"ذاتی ڈیٹا کی کاپی" کی وضاحت کی گئی۔
A کاپی مطلب ایک قابل فہم پنروتپادن، اصل کاغذی فائل نہیں۔ توقع کریں:
- آپ کے پے رول ریکارڈ کی پی ڈی ایف
- CRM نوٹوں کی CSV برآمد
- سپورٹ کالز کی آڈیو فائلوں کے ساتھ زپ
اگر آپ نے درخواست ای میل کی ہے، تو ڈیفالٹ ڈیلیوری الیکٹرانک اور "عام طور پر استعمال شدہ" فارمیٹ میں ہونی چاہیے جب تک کہ آپ کاغذ نہ مانگیں۔
ذاتی ڈیٹا بمقابلہ دستاویزات: لکیر کہاں کھینچنی ہے۔
کنٹرولرز کو صرف وہ ٹکڑوں کو نکالنا چاہیے جو آپ سے متعلق ہوں۔ مثال کے طور پر، متعدد ملازمین پر مشتمل میٹنگ میمو میں، آپ کے بولے گئے ریمارکس کو ظاہر کیا جا سکتا ہے جب کہ ساتھیوں کے تبصروں کو رد کیا جاتا ہے۔ اس کے برعکس، دستخط شدہ روزگار کا معاہدہ مکمل طور پر ظاہر کیا گیا ہے کیونکہ ہر شق آپ سے متعلق ہے۔
لازمی اضافی معلومات
ڈیٹا کاپی کے علاوہ، کنٹرولر کو وضاحت کرنی چاہیے: مقاصد، زمرے، وصول کنندگان، برقراری، دستیاب حقوق، ڈیٹا کے ذرائع، خودکار فیصلوں کے پیچھے منطق (اگر کوئی ہے)، اور منتقلی کے تحفظات۔ مبہم جوابات پر نظر رکھیں — "کاروباری مقاصد کے لیے" یا "جب تک ضروری ہو ذخیرہ کریں" سے Autoriteit Personsgegevens کو مطمئن کرنے کا امکان نہیں ہے۔ جامع، سادہ زبان میں وضاحتیں شکایات اور جرمانے کے خلاف بہترین ڈھال ہیں۔
نیدرلینڈز میں سبجیکٹ ایکسیس ریکوسٹ (SAR) کو کیسے جمع کروائیں اور ہینڈل کریں۔
مضمون تک رسائی کی درخواست کسی بھی طرح سے کی جا سکتی ہے جس طرح ڈیٹا سبجیکٹ پسند کرتا ہے — فون کے ذریعے، ای میل، خط، سوشل میڈیا DM، یا یہاں تک کہ ایک چیٹ بوٹ۔ آرٹیکل 12 GDPR کنٹرولرز کو ایک مخصوص فارم کا مطالبہ کرنے سے منع کرتا ہے، لہذا "مجھے آپ کے پاس میرے بارے میں موجود تمام ذاتی ڈیٹا کی ایک کاپی چاہیے" گھڑی شروع کرنے کے لیے کافی ہے۔ تاہم، بہترین عمل، تحریری ریکارڈ درج کرنا ہے تاکہ دونوں فریق ڈیڈ لائن کو ٹریک کر سکیں۔ درخواست اترنے کے بعد، کنٹرولر کو فوری طور پر (1) رسید کو تسلیم کرنا چاہیے، اور (2) ڈائری ایک مہینہ ردعمل کی مدت. اس پہلے مہینے کے بعد خاموشی یا تاخیر Autoriteit Personsgegevens (AP) کی شکایت اور ممکنہ جرمانے کا خطرہ ہے۔
ذیل میں ایک مختصر، دو لسانی ٹیمپلیٹ ڈیٹا مضامین کاپی پیسٹ کر سکتے ہیں۔ قانونی فقرے کی ضرورت نہیں۔
Subject: Subject Access Request – Article 15 GDPR/AVG
Dear [Controller],
I hereby request, under Article 15 GDPR/AVG, confirmation of whether you process my personal data.
If so, please provide a copy and the supplementary information listed in Article 15(1)(a-h).
Kind regards,
[Name] | [Email] | [Any reference number]
---
Onderwerp: Verzoek om inzage – Artikel 15 AVG/GDPR
Geachte [Verwerkingsverantwoordelijke],
Ik verzoek u op grond van artikel 15 AVG om bevestiging of u mijn persoonsgegevens verwerkt.
Indien dit het geval is, ontvang ik graag een kopie en de aanvullende informatie zoals genoemd in artikel 15 lid 1 onder a-h.
Met vriendelijke groet,
[Naam] | [E-mail] | [Eventuele referentie]
کنٹرولرز کو ایک سادہ انٹیک ورک فلو بنانا چاہیے-[ای میل محفوظ] میل باکس، ٹکٹ نمبر، خودکار تصدیق—بعد میں تعمیل ثابت کرنے کے لیے۔
زیادہ جمع کیے بغیر شناخت کی تصدیق
کنٹرولر کو یہ جانچنے میں "معقول" ہونا چاہیے کہ اس کی ضرورت سے زیادہ ڈیٹا حاصل کیے بغیر کون پوچھ رہا ہے۔ اے پی تجویز کرتا ہے:
- درخواست کی تفصیلات کو موجودہ اکاؤنٹ ڈیٹا (صارف کا نام، کلائنٹ آئی ڈی) کے ساتھ جہاں بھی ممکن ہو ملائیں۔
- اگر اضافی ثبوت ناگزیر ہے تو، ترمیم شدہ پاسپورٹ کی درخواست کریں یا ڈرائیونگ لائسنس اسکین BSN، تصویر، اور MRZ بلیک آؤٹ کے ساتھ۔
- تصدیق کے لیے ضرورت سے زیادہ کاپیاں کبھی نہ رکھیں۔ چیک کی حقیقت کو لاگ ان کریں، پھر فائل کو حذف کریں.
احتساب کے لیے لاگنگ اور ریکارڈ رکھنا
ایک بنیادی SAR لاگ ریگولیٹرز — اور آپ کے DPO — کو خوش رکھتا ہے۔ ریکارڈ:
- موصول ہونے کی تاریخ اور چینل (ای میل، کال، وغیرہ)
- شناخت کی تصدیق کے اقدامات کیے گئے۔
- ڈیٹا کا دائرہ کار واقع ہے۔
- اندرونی ٹیمیں شامل ہیں۔
- تاریخ اور جواب کا طریقہ + کسی بھی توسیع کا دعوی کیا گیا ہے۔
- فراہم کردہ معلومات کا خلاصہ یا انکار کی وجوہات
اس رجسٹر کو برقرار رکھنا آرٹیکل 5 کے "احتساب" کے اصول کی حمایت کرتا ہے اور اگر AP آپ کے دروازے پر دستک دیتا ہے تو ایک ریڈی میڈ آڈٹ ٹریل فراہم کرتا ہے۔
کنٹرولرز کی ٹائم لائنز، فیس، اور ڈیلیوری فارمیٹس
جب گھڑی شروع ہوتی ہے، کنٹرولرز ہوتے ہیں۔ ایک مہینہ موضوع تک رسائی کی درخواست کا جواب دینے کے لیے۔ وہ ایک بار بڑھا سکتے ہیں۔ دو اضافی مہینے تک، لیکن صرف پیچیدہ یا متعدد درخواستوں کے لیے اور انہیں پہلے مہینے کے اندر تاخیر کی وضاحت کرنی چاہیے۔ اگر کوئی ذاتی ڈیٹا نہیں رکھا جاتا ہے، تو کنٹرولر کو اب بھی اسی ڈیڈ لائن کے اندر جواب دینا چاہیے اور واضح طور پر کہنا چاہیے۔
آرٹیکل 12(5) صفر فیس کا اصول طے کرتا ہے: رسائی مفت ہے۔ چارج کی اجازت صرف اس صورت میں دی جاتی ہے جب کوئی مطالبہ ہو۔ "ظاہر طور پر بے بنیاد یا ضرورت سے زیادہ"-ایک ملازم کے بارے میں سوچیں جو ہر ہفتے ایک جیسی کاپیاں مانگتا ہے، یا سینکڑوں جعلی پروفائلز پر ڈیٹا کی درخواست کرنے والا اسپامر۔
ڈیلیوری ایک "عام استعمال شدہ" محفوظ فارمیٹ میں ہونی چاہیے۔ ایک فوری موازنہ:
| فارمیٹ | پیشہ | خامیاں |
|---|---|---|
| خفیہ کردہ پی ڈی ایف | پڑھنے کے قابل آسان ترمیم | کمزور پاس ورڈ ممکن ہے۔ |
| CSV برآمد | مشین پڑھنے کے قابل؛ چھوٹے سائز | عام لوگوں کے لیے مشکل |
| محفوظ پورٹل | 2FA اور آڈٹ ٹریل | برقرار رکھنا مہنگا ہے۔ |
جو بھی راستہ منتخب کیا جائے، کنٹرولرز کو مناسب ترجیحات کا احترام کرنا چاہیے اور ملکیتی لاک ان سے گریز کرنا چاہیے۔
محفوظ ٹرانسمیشن اور ڈیٹا کم سے کم
ای میل کے ذریعے کبھی بھی غیر محفوظ اسپریڈشیٹ نہ بھیجیں۔ پاس ورڈ سے محفوظ فائلوں کا استعمال کریں (کلید کو الگ سے شیئر کریں)، دو عنصر کی توثیق کے ساتھ HTTPS پورٹل، یا کاغذ کے بنڈلوں کے لیے رجسٹرڈ میل۔ ٹرانسمیشن سے پہلے، ریڈیکشن سافٹ ویئر کے ساتھ تھرڈ پارٹی ڈیٹا کو صاف کریں اور اضافی فیلڈز کو ہٹا دیں۔ یہ آرٹیکل 5(1)(c) کو کم سے کم کرنے پر پورا اترتا ہے جبکہ ساتھی کارکنوں، تجارتی رازوں، اور ساتھیوں کی حفاظت کرتا ہے۔
رسائی کو محدود کرنے یا انکار کرنے کے لیے جائز بنیادیں۔
آرٹیکل 15 طاقتور ہے، پھر بھی لامحدود نہیں۔ پیراگراف 4 اور Recital 63 واضح کرتے ہیں کہ ایک کنٹرولر کو تراش سکتا ہے یا افشاء کرنے سے انکار کر سکتا ہے جب معلومات کے حوالے کرنا دوسرے بنیادی حقوق سے ٹکرائے گا یا صریحاً غیر معقول ہو گا۔ ثبوت کا بوجھ کنٹرولر کے ساتھ بیٹھتا ہے: آپ کو لازمی ہے۔ دستاویز مکمل رسائی ان مسابقتی مفادات کو کیوں نقصان پہنچائے گی اور آپ نے اس کے اثرات کو کیسے کم کیا (مثال کے طور پر، جزوی تخفیف)۔
فریق ثالث کی رازداری کا تحفظ
ایک ای میل چین کا انکشاف کرنا جس میں ساتھیوں یا صارفین کے نام بھی ظاہر ہو سکتے ہیں۔ ان ذاتی ڈیٹا. ڈچ کیس کا قانون (Rb. Midden-Nederland, ECLI:NL:RBMNE:2023:1204) اس بات کی تصدیق کرتا ہے کہ کنٹرولرز فریق ثالث کے شناخت کنندگان کو خالی یا خلاصہ کر سکتے ہیں، بشرطیکہ درخواست گزار اب بھی سیاق و سباق کو سمجھتا ہو۔ تکنیک:
- بلیک لائن نام اور فون نمبر
- غیر جانبدار شرائط کے ساتھ تبدیل کریں ("دوسرا ملازم")
- پوری فائل کی بجائے ارک سپلائی کریں۔
تجارتی راز، دانشورانہ املاک، اور کاپی رائٹ
کمپنیوں کو اپنے الگورتھمک کیمونو کو کھولنے کی ضرورت نہیں ہے۔ اگر سورس کوڈ، قیمتوں کا تعین کرنے والے فارمولوں، یا کاپی رائٹ شدہ مواد کو ظاہر کرنے سے رازدارانہ معلومات کا پتہ چلتا ہے، تو آرٹیکل 15(4) کیلیبریٹڈ جواب کی اجازت دیتا ہے۔ عام حل: خودکار فیصلے کی منطق کو سادہ انگریزی میں بیان کریں، مکمل کوڈ میں نہیں۔ معاہدے کے شیڈول کے اقتباسات دیں، ملکیتی ٹیمپلیٹ نہیں۔ ہمیشہ وضاحت کریں کہ کیوں گہرا انکشاف تجارتی مفادات کو نقصان پہنچائے گا۔
حقوق کے غلط استعمال کی روک تھام
ایک درخواست ہے۔ واضح طور پر بے بنیاد یا ضرورت سے زیادہ جب یہ بار بار، ہراساں کرنے والا، یا جان بوجھ کر بوجھل ہو تو - مکمل ڈیٹا پہلے ہی ڈیلیور ہونے کے بعد ہفتہ وار کاپی پیسٹ SARs کے بارے میں سوچیں۔ اس کے بعد کنٹرولرز:
- انتظامی لاگت کی عکاسی کرنے والی "مناسب فیس" وصول کریں، or
- مکمل طور پر کام کرنے سے انکار کریں۔
کسی بھی طرح سے، آپ کو تحریری طور پر موقف کا جواز پیش کرنا چاہیے اور ڈیٹا کے موضوع کو Autoriteit Personsgegevens کو شکایت کرنے کے ان کے حق سے آگاہ کرنا چاہیے۔
ازالہ کی تلاش: نیدرلینڈز میں شکایات اور قانونی چارہ جوئی
جب ایک کنٹرولر نشان سے محروم ہوجاتا ہے، تو ڈیٹا کے مضامین کے پاس GDPR (AVG کے آرٹیکل 15 کا دائرہ کار) کے تحت رسائی کے حق کو نافذ کرنے کے لیے فوری، بڑھتے ہوئے اختیارات ہوتے ہیں۔
- اندرونی جھٹکا۔ آرٹیکل 15 اور گزری ہوئی آخری تاریخ کا حوالہ دیتے ہوئے تاریخ کی یاد دہانی بھیجیں۔ زیادہ تر تنظیمیں ایک بار اشارہ کرنے پر عمل کرتی ہیں۔
- Autoriteit Personsgevens شکایت۔ آن لائن فائل کریں۔ AP انکشاف کا حکم دے سکتا ہے، روزانہ جرمانے کی ادائیگی، یا انتظامی جرمانے لگا سکتا ہے۔ سادہ کیس اکثر تین ماہ کے اندر بند ہو جاتے ہیں۔
- سول کورٹ کی کارروائی۔ آرٹیکل 82 جی ڈی پی آر کے تحت ڈچ عدالتیں حکم امتناعی دے سکتا ہے اور معاوضہ دے سکتا ہے۔ حالیہ احکام نے فاسٹ ٹریک کے ساتھ تکلیف کے لیے €250–€2500 دیے ہیں خلاصہ کارروائی فوری روزگار کی قطاروں کے لیے ریلیف دستیاب ہے۔
سرحد پار تعاون اور ون اسٹاپ شاپ
ایک ڈچ رہائشی اب بھی AP سے شکایت کر سکتا ہے چاہے کنٹرولر کا EU ہیڈ کوارٹر کہیں اور بیٹھا ہو۔ AP فائل کو GDPR کے ذریعے آگے بھیجتا ہے۔ ون اسٹاپ شاپ، اور یورپی ڈیٹا پروٹیکشن بورڈ۔ کسی بھی ریگولیٹری تعطل کو توڑ سکتا ہے — لہذا جغرافیہ آپ کے ڈیٹا کو حاصل کرنے میں کوئی رکاوٹ نہیں ہے۔
تنظیموں کے لیے تعمیل بلیو پرنٹ
پہلی درخواست کے آنے سے بہت پہلے ایک صاف ستھرا SAR عمل شروع ہو جاتا ہے۔ یہ ضروری چیزیں بنائیں اور 90 فیصد تک رسائی کے سر درد ختم ہو جائیں:
- ایک مختصر، سادہ انگریزی SAR پالیسی شائع کریں اور عملے کو اس کی طرف اشارہ کریں۔
- اپنے ریکارڈ آف پروسیسنگ ایکٹیویٹیز (RoPA) کو اپ ٹو ڈیٹ رکھیں — تاکہ آپ کو معلوم ہو کہ ڈیٹا کہاں رہتا ہے۔
- نقشہ برقرار رکھنے کی مدت اور حذف کرنے کے محرکات؛ باسی ڈیٹا وہ ڈیٹا ہے جسے آپ کے حوالے کرنے کی ضرورت نہیں ہے۔
- ڈوئل کنٹرول ریویو کے ساتھ مرحلہ وار ریڈیکشن ورک فلو کو برقرار رکھیں۔
- آرٹیکل 5 کے لیے ہر درخواست، فیصلے اور آخری تاریخ کو لاگ ان کریں۔ احتساب.
- رفتار، وضاحت، اور کمانڈ کا سلسلہ جانچنے کے لیے سالانہ ٹیبل ٹاپ ڈرلز چلائیں۔
زبانی درخواستوں کو تلاش کرنے اور ٹرائی کرنے پر فرنٹ آفس، HR، اور IT کو تربیت دیں؛ ایک مسڈ فون کال جرمانے کی گھڑی شروع کر سکتی ہے۔
آٹومیشن اور ٹولز
ڈیٹا ڈسکوری سافٹ ویئر، ID-تصدیق APIs، اور ڈیٹا کو تیزی سے تلاش کرنے، پیک کرنے اور منتقل کرنے کے لیے محفوظ ڈاؤن لوڈ پورٹلز کا استعمال کریں — ہمیشہ انسانی حس کی جانچ اور سیاق و سباق کے لیے جگہ چھوڑتے ہیں۔
دیگر ڈیٹا سبجیکٹ کے حقوق کے ساتھ انضمام
SAR ورک فلو کو اصلاح، مٹانے، یا پورٹیبلٹی ایکشنز میں برانچ کرنے کے لیے ڈیزائن کریں۔ ایک مربوط پائپ لائن ڈپلیکیٹ تلاشوں اور متضاد جوابات سے گریز کرتی ہے۔
ڈیٹا کے مضامین کو بااختیار بنانا: موثر درخواستوں کے لیے عملی تجاویز
ایک واضح، اچھی طرح سے دائرہ کار والا SAR ہر ایک کا وقت بچاتا ہے اور کنٹرولر کے لیے رک جانا مشکل بنا دیتا ہے۔ یہ حربے آزمائیں:
- اشارہ کیا آپ چاہتے ہیں: "میرے اور مینیجر جانسن کے درمیان 1 جنوری - 31 مارچ 2024 تک تمام ای میلز۔"
- یاد رکھیں کہاں یہ بیٹھتا ہے: "HR سسٹم اور ہیلپ ڈیسک ٹکٹ۔"
- بیان آپ ترجیحی شکل (CSV، PDF) اور محفوظ چینل۔
- جب متعلقہ ہو تو فوری طور پر پرچم لگائیں ("آنے والا کارکردگی کا جائزہ لیں 15 اکتوبر کو)۔
ڈیٹا اترنے کے بعد، غلطیوں یا خالی جگہوں کے لیے اسکین کریں اور فوری طور پر اصلاح یا مٹانے کی درخواست کو ختم کریں — اسی ثبوت کے راستے پر سوار ہونے سے رفتار برقرار رہتی ہے۔
اگر نظر انداز کر دیا جائے تو بڑھنے کی حکمت عملی
31واں دن اور پھر بھی ریڈیو خاموشی؟ اسے شائستہ لیکن مضبوط رکھیں:
Subject: Reminder – Article 15 GDPR/AVG request overdue
Dear [Controller],
On [date] I requested access to my personal data. The one-month term has passed without a response.
Please provide the information within seven days or explain the lawful basis for any refusal.
Failing that, I will file a complaint with the Autoriteit Persoonsgegevens and consider civil action.
Regards,
[Name]
ہر قدم (تاریخیں، ای میلز، فون لاگز) کو دستاویز کریں۔ اگر اضافی ہفتہ ختم ہو جاتا ہے، تو AP کے پاس آن لائن شکایت درج کریں اور اپنے ثبوت کا بنڈل منسلک کریں۔ عدالتیں اور ریگولیٹرز اچھی طرح سے منظم دعویداروں کی حمایت کرتے ہیں۔
رسائی کے اپنے حق کو سمیٹنا
آرٹیکل 15 GDPR/AVG افراد کو ڈرائیور کی سیٹ پر رکھتا ہے: آپ پوچھ سکتے ہیں، دیکھ سکتے ہیں اور چیلنج کر سکتے ہیں کہ کوئی تنظیم آپ کے ڈیٹا کے ساتھ کیا کرتی ہے۔ کنٹرولرز کے لیے، واضح طریقہ کار، صاف ستھرا ریکارڈ، اور سمجھدار رد عمل اختیاری نہیں ہیں- یہ ایک ماہ کی آخری تاریخ کو پورا کرنے اور Autoriteit Personsgegevens کی چکاچوند سے بچنے کا واحد طریقہ ہیں۔
بنیادی پلے بک یاد رکھیں:
- درخواست غیر رسمی ہو سکتی ہے،
- جواب مفت، بروقت اور مکمل ہونا چاہیے،
- حدیں تنگ ہیں اور ان کا جواز ہونا چاہیے،
- جزوی انکشاف کمبل انکار کو شکست دیتا ہے۔
ان اصولوں پر عمل کریں اور رسائی کا حق کمرہ عدالت میں سر درد کی بجائے معمول کی تعمیل کا کام بن جاتا ہے۔
درزی سے تیار کردہ SAR ٹیمپلیٹ، فریق ثالث کے ڈیٹا کو حل کرنے میں مدد، یا ضدی کنٹرولر کے لیے حکمت عملی کی ضرورت ہے؟ پرائیویسی اٹارنی Law & More قدم اٹھانے کے لیے تیار ہیں — چاہے آپ جوابات کی تلاش میں ڈیٹا کا موضوع ہو یا یقین کی تلاش میں کمپنی ہو۔
