پروسیسنگ معاہدہ

تعارف

Autosoft BV، دوسری چیزوں کے ساتھ، کسٹمر کے لیے اور اس کی جانب سے ذاتی ڈیٹا پر کارروائی کرتا ہے۔ لہذا Autosoft BV اور صارف پروسیسر معاہدہ کرنے کے لیے جنرل ڈیٹا پروٹیکشن ریگولیشن (GDPR) کے تحت پابند ہیں۔ GDPR کے مطابق، Autosoft BV ایک 'پروسیسر' ہے اور صارف 'کنٹرولر' ہے۔ یہ پروسیسر معاہدہ یہ بھی بیان کرتا ہے کہ Autosoft BV ڈیٹا کی خلاف ورزی کی اطلاع کی ذمہ داری کو کیسے ہینڈل کرتا ہے۔

پروسیسنگ معاہدہ

پر مشتمل:
حصہ 1: ڈیٹا پرو بیان
حصہ 2: معیاری پروسیسنگ شقیں۔

حصہ 1: ڈیٹا پرو بیان

عام معلومات

1)۔ یہ ڈیٹا پرو بیان درج ذیل ڈیٹا پروسیسر (پروسیسر) کے ذریعے تیار کیا گیا ہے:

• آٹوسافٹ BV
  Hengelosestraat 547
  7521 AG Enschede

اس ڈیٹا پرو اسٹیٹمنٹ یا ڈیٹا کے تحفظ کے بارے میں سوالات کے لیے، براہ کرم رابطہ کریں:
آرتھر وین ڈیر لیک: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2)۔ یہ ڈیٹا پرو بیان 1 اگست 2021 سے لاگو ہوتا ہے۔
ہم اس ڈیٹا پرو سٹیٹمنٹ اور اس میں بیان کردہ حفاظتی اقدامات کو باقاعدگی سے ایڈجسٹ کرتے ہیں تاکہ یہ یقینی بنایا جا سکے کہ ہم ڈیٹا کے تحفظ کے حوالے سے ہمیشہ تیار اور اپ ٹو ڈیٹ ہیں۔ ہم آپ کو اپنے عام چینلز کے ذریعے نئے ورژنز سے آگاہ کرتے رہیں گے۔

3)۔ یہ ڈیٹا پرو بیان درج ذیل ڈیٹا پروسیسر مصنوعات اور خدمات پر لاگو ہوتا ہے۔

• آٹو ویب سائٹ
• آٹو کامرس

4)۔ تفصیل کار ویب سائٹ
کار کمپنیاں Autowebsite استعمال کرتی ہیں۔ Autowebsite کے ساتھ، کار کمپنیاں خود کو انٹرنیٹ پر پیش کر سکتی ہیں۔

5)۔ کار کی ویب سائٹ کا استعمال کرنا
آٹو ویب سائٹ کو مندرجہ ذیل قسم کے ڈیٹا پر کارروائی کرنے کے لیے ڈیزائن اور لیس کیا گیا ہے:
Autosoft کی طرف سے Autowebsite کے ساتھ تیار کردہ ویب سائٹس پر آنے والوں کے پاس اپنے رابطے کی تفصیلات وہاں چھوڑنے کا اختیار ہے تاکہ کار کمپنی کو مزید خدمات کے لیے وزیٹر سے رجوع کرنے کا موقع ملے۔ یہ رابطے کی تفصیلات آٹوسوفٹ کے ساتھ محفوظ نہیں ہیں، بلکہ کار کمپنی کے ای میل ایڈریس پر براہ راست ای میل کے ذریعے بھیجی جاتی ہیں۔

• یہ سروس خصوصی ذاتی ڈیٹا، یا مجرمانہ سزاؤں اور جرائم یا حکومت کے جاری کردہ ذاتی نمبروں سے متعلق ڈیٹا کی کارروائی کو مدنظر نہیں رکھتی ہے۔

6)۔ تفصیل آٹو کامرس
کار کمپنیاں آٹو کامرس استعمال کرتی ہیں۔ آٹو کامرس کے ساتھ، کار کمپنیاں اپنی گاڑیوں کو اپنی ویب سائٹ اور تھرڈ پارٹیز کے انٹرنیٹ سرچ پورٹلز پر پیش کر سکتی ہیں۔

7)۔ آٹو کامرس کا استعمال کرنا
آٹو کامرس کو مندرجہ ذیل قسم کے ڈیٹا پر کارروائی کرنے کے لیے ڈیزائن اور لیس کیا گیا ہے:
کار کمپنیاں اپنی رجسٹرڈ گاڑیاں آٹو کامرس کے ذریعے اپنی کار ویب سائٹ پر رکھ سکتی ہیں۔ ان رجسٹرڈ گاڑیوں میں کوئی ایسا ڈیٹا نہیں ہوتا ہے جس کا کسی بھی شکل میں ذاتی ڈیٹا تک پتہ لگایا جا سکے۔ کار کی ویب سائٹ پر آنے والوں کے پاس اپنے رابطے کی تفصیلات وہاں چھوڑنے کا اختیار ہے تاکہ کار کمپنی کو مزید خدمات کے لیے وزیٹر سے رجوع کرنے کا موقع ملے۔ وزیٹر کی طرف سے اپنی آٹو ویب سائٹ پر چھوڑی گئی رابطے کی تفصیلات آٹو کامرس میں محفوظ کی جاتی ہیں۔

• یہ سروس خصوصی ذاتی ڈیٹا، یا مجرمانہ سزاؤں اور جرائم یا حکومت کے جاری کردہ ذاتی نمبروں سے متعلق ڈیٹا کی کارروائی کو مدنظر نہیں رکھتی ہے۔

8)۔ ڈیٹا پروسیسر آٹو ویب سائٹ اور آٹو کامرس کے لیے پروسیسنگ کے لیے معیاری شقوں کا استعمال کرتا ہے، جو کہ معاہدے کے ضمیمہ کے طور پر دیکھی جا سکتی ہیں۔

9)۔ ڈیٹا پروسیسر آٹو ویب سائٹ اور آٹو کامرس کے لیے EU/EEA کے اندر اپنے کلائنٹس کے ذاتی ڈیٹا پر کارروائی کرتا ہے۔

10)۔ ڈیٹا پروسیسر آٹو کامرس کے لیے درج ذیل ذیلی پروسیسرز کا استعمال کرتا ہے:
کچھ معاملات میں آٹوسافٹ اپنی رجسٹرڈ گاڑیاں آٹو کامرس کے ذریعے کار کمپنی کی جانب سے تیسرے فریق یا ذیلی پروسیسرز کے انٹرنیٹ سرچ پورٹلز پر بھیجتا ہے۔ ذیلی پروسیسرز کی فہرست support@autosoft.eu پر درخواست پر دستیاب ہے۔

11)۔ کلائنٹ کے ساتھ معاہدہ ختم کرنے کے بعد، ڈیٹا پروسیسر اصولی طور پر اس ذاتی ڈیٹا کو ہٹا دے گا جس پر وہ کلائنٹ کے لیے 3 ماہ کے اندر اس طرح کارروائی کرتا ہے کہ وہ مزید استعمال نہیں کیے جاسکتے ہیں اور مزید قابل رسائی نہیں ہیں (قابل رسائی فراہم کرتے ہیں)۔

سیکورٹی کی پالیسی

مندرجہ ذیل حفاظتی اقدامات کا خلاصہ کریں جو ڈیٹا پروسیسر نے اپنی مصنوعات یا سروس کی حفاظت کے لیے اٹھائے ہیں:

واقعہ کے انتظام اور ردعمل کی پالیسی
انفارمیشن سیکیورٹی کے شعبے میں وقوعہ کے انتظام اور جوابی پالیسیوں میں کمپیوٹر یا آئی ٹی کے بنیادی ڈھانچے پر سیکیورٹی کے واقعات کی نگرانی اور ان کا پتہ لگانا، بلکہ اہلکاروں کی مشکوک سرگرمیوں کا مشاہدہ، اور ان واقعات پر درست ردعمل کا نفاذ بھی شامل ہے۔

اس پالیسی کا بنیادی مقصد بدنیتی پر مبنی واقعات اور کمپیوٹر کی مداخلتوں کے لیے لفظ کے وسیع ترین معنوں میں ایک اچھی طرح سے سمجھے جانے والے اور پیش قیاسی ردعمل کو تیار کرنا ہے۔

وقوعہ کا انتظام اور جوابی پالیسی کمپیوٹرز، نیٹ ورکس اور انفارمیشن سسٹمز اور ان میں محفوظ کردہ معلومات کے انتظام اور حفاظت کا عمل ہے۔ جب اپنے صارفین اور سپلائی چین پارٹنرز کے فائدے کے لیے اس معلومات کی حفاظت کی بات آتی ہے تو Autosoft اپنی ذمہ داریوں سے آگاہ ہے۔ یہ ذمہ داری ایک واقعہ کے طریقہ کار تک پھیلی ہوئی ہے۔ حادثوں کا انتظام سرگرمیوں کا ایک مجموعہ ہے جو ایک ایسے عمل کی وضاحت اور نفاذ کرتا ہے جسے ایک تنظیم اپنی فلاح و بہبود اور عوام کی حفاظت کو فروغ دینے کے لیے استعمال کر سکتی ہے۔

آئی ٹی اور سیکیورٹی
Autosoft BV کا ICT ڈھانچہ فائر وال کے ساتھ مناسب طور پر محفوظ ہے اور وائرس سکیننگ سافٹ ویئر کو اپ ٹو ڈیٹ رکھا گیا ہے۔ ہر ملازم کا لاگ ان پروفائل ہوتا ہے۔ کمپیوٹر شروع کرتے وقت، ملازمین کو لاگ ان کا نام اور پاس ورڈ درج کرنا چاہیے اور جہاں ممکن ہو 2 قدمی تصدیق کے ساتھ۔

کچھ سافٹ ویئر لاگ ان نام اور پاس ورڈ بھی مانگتا ہے اور جہاں ممکن ہو 2 قدمی تصدیق کے ساتھ۔ محفوظ طریقے سے کام کرنے کے بارے میں ملازمین میں بیداری کی حوصلہ افزائی کی جاتی ہے، جیسے کہ مشکوک ای میلز نہ کھولنے کی طرف توجہ مبذول کرانا، مشکوک لنکس پر کلک نہ کرنا، کام کی جگہ سے زیادہ دیر تک باہر نکلتے وقت لاگ آؤٹ کرنا، وغیرہ۔

فائلوں کا دن اور ہر رات بیک اپ لیا جاتا ہے۔ سیکورٹی وجوہات کی بنا پر، بیک اپ کے ارد گرد ذخیرہ کرنے کا مزید طریقہ کار خفیہ ہے۔ Autosoft BV نے اس کے لیے کمپیوٹر سپلائرز اور انٹرنیٹ ہوسٹنگ فراہم کرنے والوں کے ساتھ سروس کے معاہدے کیے ہیں۔

ڈیٹا کے تحفظ کی پالیسی
Autosoft BV صارف کے ذاتی ڈیٹا کو نقصان یا کسی بھی قسم کی غیر قانونی کارروائی سے بچانے کے لیے مناسب تکنیکی اور تنظیمی اقدامات کرتا ہے۔ ان تکنیکی اور تنظیمی اقدامات کو GDPR کے آرٹیکل 1 کے مفہوم میں ایک مناسب حفاظتی سطح کے طور پر شمار کیا جاتا ہے اور انہیں Autosoft BV کے مرکزی بیس کیمپ (پروجیکٹ: آرگنائزیشن / ڈیٹا پروٹیکشن پالیسی) میں دستاویزات کے طور پر محفوظ کیا جاتا ہے۔

تکنیکی اور تنظیمی

1. اس بات کو یقینی بنانے کے اقدامات کہ پروسیسر ایگریمنٹ کے تناظر میں پروسیس کیے گئے ذاتی ڈیٹا تک صرف مجاز اہلکاروں کی رسائی ہو۔
2. ذاتی ڈیٹا کو خاص طور پر حادثاتی یا غیر قانونی تباہی، نقصان، حادثاتی تبدیلی، غیر مجاز یا غیر قانونی ذخیرہ، رسائی یا افشاء سے بچانے کے اقدامات؛
3. ذاتی ڈیٹا کی حفاظت کے لیے اقدامات، خاص طور پر، حادثاتی یا غیر قانونی تباہی، نقصان، حادثاتی تبدیلی، غیر مجاز یا غیر قانونی ذخیرہ، ڈیٹا کے تبادلے/ٹرانسپورٹ کے دوران رسائی یا انکشاف؛
4. مسلسل بنیادوں پر ایڈیٹنگ سسٹمز اور سروسز کی رازداری، سالمیت، دستیابی اور لچک کو یقینی بنانے کی صلاحیت کو یقینی بنانے کے اقدامات؛
5. کسی جسمانی یا تکنیکی واقعے کی صورت میں بروقت ذاتی ڈیٹا کی دستیابی اور رسائی کو بحال کرنے کے اقدامات؛
6. معاہدے کے تحت خدمات فراہم کرنے کے لیے استعمال کیے جانے والے سسٹمز میں ذاتی ڈیٹا کی پروسیسنگ کے حوالے سے کمزوریوں کی نشاندہی کرنے کے اقدامات؛

تنظیمی جیسے:

• ان اہلکاروں کے حلقے کو محدود کرنا جن کے پاس مخصوص ذاتی ڈیٹا تک رسائی ہے ان افراد تک جنہیں اپنے فرائض کی انجام دہی کے لیے ڈیٹا کی ضرورت ہے۔
• ان افراد کو صرف ذاتی ڈیٹا تک رسائی دینا جو انہیں اپنے فرائض کی انجام دہی کے لیے درکار ہے۔
• ان تمام افراد کے ساتھ جن کو ذاتی ڈیٹا تک رسائی دی جائے گی، جرمانے کی شق کے ساتھ رازداری کی شق سے اتفاق کرنا؛
• بند جگہ میں سرورز پر ذاتی ڈیٹا ذخیرہ کرنا؛
• کاغذی فائلوں کو لاک ایبل کابینہ میں رکھنا؛
• ملازمین میں معلومات کی حفاظت سے متعلق آگاہی پیدا کرنا؛
• انفارمیشن سیکیورٹی کے واقعات اور سیکیورٹی کے خطرات سے بروقت اور مؤثر طریقے سے نمٹنے کے لیے واضح پروٹوکول اور طریقہ کار کا قیام؛

ڈیٹا پروسیسر انتظام کے لیے اپنے طریقے اور طریقہ کار استعمال کرتا ہے جو تنظیم کے کام کرنے کے طریقہ کار میں فٹ ہوتے ہیں:

• بیس کیمپ کے اندر، متعلقہ دستاویزات کا انتظام کیا جاتا ہے اور وقتاً فوقتاً ان کا جائزہ لیا جاتا ہے۔

ڈیٹا کی خلاف ورزی کا پروٹوکول

اس صورت میں کہ کچھ غلط ہو جاتا ہے، ڈیٹا پروسیسر مندرجہ ذیل ڈیٹا لیک پروٹوکول کا استعمال کرتا ہے تاکہ یہ یقینی بنایا جا سکے کہ کلائنٹ کو واقعات سے آگاہی ہو:

Autosoft BV - ڈیٹا کی خلاف ورزی کا طریقہ کار

ڈیٹا کی خلاف ورزی کیا ہے اور مجھے کب اس کی اطلاع اے پی کو دینی ہوگی؟
ڈیٹا کی خلاف ورزی ایک معلوماتی حفاظتی واقعہ ہے جس میں نقصان یا غیر قانونی پروسیسنگ جیسے کہ (لیکن مکمل طور پر نہیں): ذاتی ڈیٹا کی حفاظت کی خلاف ورزی شامل ہے۔

• ذاتی ڈیٹا کو ایڈجسٹ کرنا اور/یا تبدیل کرنا اور اس ذاتی ڈیٹا تک غیر مجاز رسائی؛
• ہیکر کی طرف سے بریک ان کی صورت میں؛
• USB اسٹک کا کھو جانا، لیپ ٹاپ کی چوری؛
• حساس ڈیٹا کو غلط ای میل ایڈریس پر بھیجنا؛

قانون کے مطابق، 'سنگین' ڈیٹا کی خلاف ورزی کی اطلاع ڈچ ڈیٹا پروٹیکشن اتھارٹی کو بغیر کسی تاخیر کے، اور اگر ممکن ہو تو دریافت کے 72 گھنٹے کے بعد دی جائے۔

Autosoft BV کو ڈچ ڈیٹا پروٹیکشن اتھارٹی کو رپورٹ کرنے کی ضرورت نہیں ہے اگر انفرادی قدرتی افراد کی اصل شناخت کو معقول طور پر خارج کر دیا گیا ہو۔
معلومات کی حفاظت کے واقعے کے تمام شبہات کو پہلی صورت میں دور کیا جاتا ہے۔ support@autosoft.eu رپورٹ اور رجسٹرڈ. سپورٹ انتظامیہ کی ٹیم کو واقعے کی اطلاع دیتا ہے اور اس بات کا تعین کرتا ہے کہ فالو اپ کیا اقدامات کیے جائیں۔

فالو اپ طریقہ کار

مجھے ڈیٹا کے مضامین کو کب مطلع کرنا ہوگا؟
ڈیٹا کی خلاف ورزی کی اطلاع ڈیٹا سبجیکٹ کو دی جانی چاہیے اگر، خلاف ورزی کی صورت میں، اس بات کا زیادہ خطرہ ہے کہ خلاف ورزی کے اس کی نجی زندگی پر منفی اثرات مرتب ہوں گے۔ ڈیٹا کے موضوع کے لیے ناموافق نتائج ہیں: اس کی ساکھ اور ساکھ کو نقصان، شناخت کی دھوکہ دہی یا امتیازی سلوک۔ اگر Autosoft BV نے مناسب تکنیکی تحفظ کے اقدامات کیے ہیں، جس کے نتیجے میں متعلقہ ذاتی ڈیٹا کو ناقابل فہم یا ناقابل رسائی بنا دیا گیا ہے، تو ڈیٹا کے موضوع کی اطلاع ضروری نہیں ہے۔ ڈیٹا کے موضوع کی اطلاع میں واضح اور سادہ زبان میں ذاتی ڈیٹا کی خلاف ورزی کی نوعیت کی وضاحت اور کم از کم:

• ڈیٹا پروٹیکشن آفیسر کا نام اور رابطے کی تفصیلات یا دوسرے رابطہ پوائنٹ جہاں سے مزید معلومات حاصل کی جا سکتی ہیں۔
• ذاتی ڈیٹا کی خلاف ورزی کے ممکنہ نتائج؛
• ذاتی ڈیٹا کی خلاف ورزی سے نمٹنے کے لیے کنٹرولر کی طرف سے تجویز کردہ یا اٹھائے گئے اقدامات، بشمول، جہاں مناسب ہو، اس کے کسی بھی منفی اثرات کو کم کرنے کے اقدامات۔ اس بات کا اندازہ کہ آیا ڈیٹا کی خلاف ورزی کی اطلاع ڈچ ڈیٹا پروٹیکشن اتھارٹی اور/یا متاثرہ افراد کو دی جانی چاہیے ہمیشہ Autosoft BV پر منحصر ہے۔ اس بات کا تعین کرنے کے لیے کہ آیا کسی واقعے کی اطلاع دینا ضروری ہے، ڈچ ڈیٹا پروٹیکشن اتھارٹی نے پالیسی کے اصول بنائے ہیں (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) اور GDPR میں رپورٹنگ کی ذمہ داری پر شائع کردہ یورپی سپروائزرز کے رہنما خطوط کا ورکنگ گروپ 29۔ اگر Autosoft BV نے ڈیٹا کی خلاف ورزی کی اطلاع نہیں دی ہے، تو ڈچ ڈیٹا پروٹیکشن اتھارٹی کو Autosoft BV سے اب بھی رپورٹ کرنے کا مطالبہ ہو سکتا ہے۔ رپورٹ کرنے میں ناکامی پر انتظامی جرمانے کی سزا دی جا سکتی ہے۔

میں ڈیٹا کی خلاف ورزی کی اطلاع کیسے دوں؟
ڈچ ڈیٹا پروٹیکشن اتھارٹی ایک ویب فارم دستیاب کرتی ہے جسے ڈیٹا کی خلاف ورزیوں کی اطلاع دینے کے لیے استعمال کیا جانا چاہیے (https://dataleks.autoriteitpersoonsgegevens.nl/)۔ ڈچ ڈیٹا پروٹیکشن اتھارٹی موصول ہونے والی ڈیٹا کی خلاف ورزی کی اطلاعات کا ایک رجسٹر رکھتی ہے۔ یہ رجسٹر عوامی نہیں ہے۔ اگر ڈیٹا کی خلاف ورزی کے نتیجے میں ڈچ ڈیٹا پروٹیکشن اتھارٹی کی طرف سے جرمانہ عائد کیا جاتا ہے، تو اس فیصلے کو عام کر دیا جائے گا۔ ڈیٹا کی خلاف ورزی کو اس وقت بھی عام کیا جاتا ہے جب ڈیٹا کے مضامین کو ڈیٹا کی خلاف ورزی کے بارے میں مطلع کرنے کی ضرورت ہوتی ہے۔ ڈیٹا سبجیکٹ کے لیے نوٹیفکیشن کسی بھی صورت میں خلاف ورزی کی نوعیت اور حکام کی نشاندہی کرے جہاں ڈیٹا کا مضمون خلاف ورزی کے بارے میں مزید معلومات حاصل کر سکتا ہے۔ یہ بھی بتایا جانا چاہیے کہ ڈیٹا کی خلاف ورزی کے منفی نتائج کو محدود کرنے کے لیے ڈیٹا کا موضوع خود کیا کر سکتا ہے۔ مثال کے طور پر، صارف کے نام اور پاس ورڈ کو تبدیل کرنا جب ان کی خلاف ورزی سے سمجھوتہ کیا گیا ہو۔

میں کیا رپورٹ کروں؟
ڈچ ڈیٹا پروٹیکشن اتھارٹی کو ایک اطلاع میں شامل ہیں:

• ڈیٹا کی خلاف ورزی کا رپورٹر۔
• وہ شخص جس سے ڈچ ڈیٹا پروٹیکشن اتھارٹی رپورٹ کے بارے میں مزید معلومات کے لیے رابطہ کر سکتی ہے۔
• اس واقعے کا خلاصہ جہاں پرسنل ڈیٹا سیکیورٹی کی خلاف ورزی ہوئی۔
• خلاف ورزی کا وقت۔
• خلاف ورزی کی نوعیت۔
• متعلقہ ذاتی ڈیٹا کی قسم۔
• خلاف ورزی کے نتیجے میں ملوث افراد کی رازداری پر اثر پڑ سکتا ہے۔
• تکنیکی اور تنظیمی اقدامات جو Autosoft BV نے خلاف ورزی سے نمٹنے اور مزید خلاف ورزیوں کو روکنے کے لیے اٹھائے ہیں۔
• آیا Autosoft BV نے ڈیٹا کے مضامین کو ڈیٹا کی خلاف ورزی کی اطلاع دی ہے اور اگر نہیں، کیا Autosoft BV ایسا کرنے کا ارادہ رکھتا ہے:
• اگر ایسا ہے تو، ڈیٹا کے مضامین کو اطلاع کا مواد۔
• اگر نہیں، تو اس وجہ سے کہ Autosoft BV ڈیٹا کے مضامین کو ڈیٹا کی خلاف ورزی کی اطلاع دینے سے گریز کرتا ہے۔
• کیا ذاتی ڈیٹا کو انکرپٹڈ، ہیش یا دوسری صورت میں ناقابل فہم یا غیر مجاز افراد کے لیے ناقابل رسائی بنا دیا گیا ہے؟

حصہ 2: معیاری پروسیسنگ شقیں۔

ورژن: ستمبر 2019
ڈیٹا پرو سٹیٹمنٹ کے ساتھ مل کر پروسیسنگ کا معاہدہ بناتا ہے اور یہ معاہدے اور اس کے ساتھ ملحقہ ضمیمہ جیسے قابل اطلاق عام شرائط و ضوابط کا ضمیمہ ہے۔

آرٹیکل 1. تعریفیں

پروسیسنگ کے لیے ان معیاری شقوں، ڈیٹا پرو اسٹیٹمنٹ اور معاہدے میں درج ذیل شرائط کے مندرجہ ذیل معنی ہیں:

• 1.1 ڈچ ڈیٹا پروٹیکشن اتھارٹی (AP): سپروائزری اتھارٹی، جیسا کہ آرٹیکل 4، اوسط کے ذیلی 21 میں بیان کیا گیا ہے۔
• 1.2 اوسط: جنرل ڈیٹا پروٹیکشن ریگولیشن۔
• 1.3 ڈیٹا پروسیسر: وہ فریق جو ICT فراہم کنندہ کے طور پر، معاہدے کے نفاذ کے تناظر میں اپنے کلائنٹ کے فائدے کے لیے ذاتی ڈیٹا پر کارروائی کرتا ہے۔
• 1.4 ڈیٹا پرو بیان: ڈیٹا پروسیسر کا بیان جس میں وہ اپنے پروڈکٹ یا سروس کے مطلوبہ استعمال، اٹھائے گئے حفاظتی اقدامات، ذیلی پروسیسرز، ڈیٹا لیکس، سرٹیفیکیشنز اور ڈیٹا سبجیکٹس کے حقوق کو سنبھالنے کے حوالے سے معلومات فراہم کرتا ہے۔
• 1.5 ڈیٹا سبجیکٹ (ڈیٹا سبجیکٹ): ایک شناخت شدہ یا قابل شناخت قدرتی شخص۔
• 1.6 کلائنٹ: وہ پارٹی جس کی جانب سے ڈیٹا پروسیسر ذاتی ڈیٹا پر کارروائی کرتا ہے۔ کلائنٹ یا تو کنٹرولر ("کنٹرولر") یا دوسرا پروسیسر ہوسکتا ہے۔
• 1.7 معاہدہ: کلائنٹ اور ڈیٹا پروسیسر کے درمیان معاہدہ، جس کی بنیاد پر ICT سپلائر کلائنٹ کو خدمات اور/یا مصنوعات فراہم کرتا ہے، جس میں پروسیسر کا معاہدہ حصہ بناتا ہے۔
• 1.8 ذاتی ڈیٹا: شناخت شدہ یا قابل شناخت قدرتی شخص کے بارے میں تمام معلومات، جیسا کہ آرٹیکل 4، ذیلی 1 AVG میں بیان کیا گیا ہے، جسے ڈیٹا پروسیسر معاہدے سے پیدا ہونے والی اپنی ذمہ داریوں کی کارکردگی کے تناظر میں پروسیس کرتا ہے۔
• 1.9 پروسیسنگ کا معاہدہ: پروسیسنگ کے لیے یہ معیاری شقیں، جو ڈیٹا پروسیسر کے ڈیٹا پرو اسٹیٹمنٹ (یا تقابلی معلومات) کے ساتھ مل کر پروسیسنگ معاہدے کی تشکیل کرتی ہیں جیسا کہ GDPR کے آرٹیکل 28، پیراگراف 3 میں بتایا گیا ہے۔

آرٹیکل 2. جنرل

• 2.1 یہ معیاری پروسیسنگ شقیں ذاتی ڈیٹا کی تمام پروسیسنگ پر لاگو ہوتی ہیں جو ڈیٹا پروسیسر اپنی مصنوعات اور خدمات کی فراہمی اور تمام معاہدوں اور پیشکشوں کے تناظر میں کرتا ہے۔ کلائنٹ کے پروسیسنگ معاہدوں کے قابل اطلاق کو واضح طور پر مسترد کر دیا گیا ہے۔
• 2.2 ڈیٹا پرو اسٹیٹمنٹ، اور خاص طور پر اس میں موجود حفاظتی اقدامات، ڈیٹا پروسیسر کے ذریعے وقتاً فوقتاً بدلتے ہوئے حالات کی عکاسی کرنے کے لیے ترمیم کی جا سکتی ہے۔ ڈیٹا پروسیسر کلائنٹ کو اہم تبدیلیوں سے آگاہ کرے گا۔ اگر کلائنٹ ایڈجسٹمنٹ سے معقول طور پر اتفاق نہیں کرسکتا، تو کلائنٹ کو ایڈجسٹمنٹ کی اطلاع کے 30 دنوں کے اندر تحریری طور پر پروسیسنگ معاہدے کو ختم کرنے کا حق ہے۔
• 2.3 ڈیٹا پروسیسر کلائنٹ کی طرف سے اور اس کی جانب سے ذاتی ڈیٹا پر ڈیٹا پروسیسر کے ساتھ متفق کلائنٹ کی تحریری ہدایات کے مطابق کارروائی کرتا ہے۔
• 2.4 کلائنٹ، یا اس کا صارف، GDPR کے معنی میں کنٹرولر ہے، ذاتی ڈیٹا کی پروسیسنگ پر کنٹرول رکھتا ہے اور اس نے ذاتی ڈیٹا پر کارروائی کے مقصد اور ذرائع کا تعین کیا ہے۔
• 2.5 ڈیٹا پروسیسر جی ڈی پی آر کے معنی میں ایک پروسیسر ہے اور اس وجہ سے ذاتی ڈیٹا پر کارروائی کرنے کے مقصد اور ذرائع پر اس کا کوئی کنٹرول نہیں ہے اور اس وجہ سے ذاتی ڈیٹا کے استعمال کے بارے میں دیگر چیزوں کے علاوہ کوئی فیصلہ نہیں کرتا ہے۔
• 2.6 ڈیٹا پروسیسر GDPR کو لاگو کرتا ہے جیسا کہ پروسیسنگ کے لیے ان معیاری شقوں، ڈیٹا پرو اسٹیٹمنٹ اور معاہدے میں بیان کیا گیا ہے۔ یہ کلائنٹ پر منحصر ہے کہ وہ اس معلومات کی بنیاد پر اس بات کا جائزہ لے کہ آیا ڈیٹا پروسیسر مناسب تکنیکی اور تنظیمی اقدامات کے اطلاق کے حوالے سے کافی ضمانتیں پیش کرتا ہے تاکہ پروسیسنگ جی ڈی پی آر کی ضروریات کو پورا کرے اور ڈیٹا مضامین کے حقوق کے تحفظ کو یقینی بنائے۔ کافی ہے۔ ضمانت دی گئی ہے۔
• 2.7 کلائنٹ ڈیٹا پروسیسر کو ضمانت دیتا ہے کہ وہ GDPR کے مطابق کام کرتا ہے، کہ وہ ہر وقت اپنے سسٹمز اور انفراسٹرکچر کی مناسب حفاظت کرتا ہے اور یہ کہ ذاتی ڈیٹا کا مواد، استعمال اور/یا پروسیسنگ غیر قانونی نہیں ہے اور کسی حق کی خلاف ورزی نہیں کرتا ہے۔ کسی تیسرے فریق کا۔
• 2.8 AP کی طرف سے کلائنٹ پر عائد کیا گیا انتظامی جرمانہ ڈیٹا پروسیسر سے وصول نہیں کیا جا سکتا۔

آرٹیکل 3۔ سیکورٹی

• 3.1 ڈیٹا پروسیسر تکنیکی اور تنظیمی حفاظتی اقدامات کرتا ہے، جیسا کہ اس کے ڈیٹا پرو بیان میں بیان کیا گیا ہے۔ تکنیکی اور تنظیمی حفاظتی اقدامات کرتے وقت، ڈیٹا پروسیسر نے اسٹیٹ آف دی آرٹ، حفاظتی اقدامات کے نفاذ کے اخراجات، پروسیسنگ کی نوعیت، دائرہ کار اور سیاق و سباق، مقاصد اور اس کی مصنوعات اور خدمات کے مطلوبہ استعمال کو مدنظر رکھا ہے۔ ، پروسیسنگ کے خطرات اور وہ خطرات جو ڈیٹا مضامین کے حقوق اور آزادیوں کے امکان اور سنجیدگی میں مختلف ہیں جن کی وہ اپنی مصنوعات اور خدمات کے مطلوبہ استعمال کے پیش نظر توقع کر سکتا ہے۔
• 3.2 جب تک کہ ڈیٹا پرو اسٹیٹمنٹ میں واضح طور پر دوسری صورت میں بیان نہ کیا گیا ہو، ڈیٹا پروسیسر کی مصنوعات یا سروس کو ذاتی ڈیٹا یا مجرمانہ سزاؤں یا جرائم یا حکومت کے جاری کردہ ذاتی نمبروں سے متعلق خصوصی زمروں پر کارروائی کرنے کے لیے ڈیزائن نہیں کیا گیا ہے۔
• 3.3 ڈیٹا پروسیسر اس بات کو یقینی بنانے کی کوشش کرتا ہے کہ اس کے ذریعہ اٹھائے جانے والے حفاظتی اقدامات ڈیٹا پروسیسر کے ذریعہ پروڈکٹ یا سروس کے مطلوبہ استعمال کے لئے موزوں ہوں۔
• 3.4 کلائنٹ کی رائے میں، بیان کردہ حفاظتی اقدامات آرٹیکل 3.1 میں بتائے گئے عوامل کو مدنظر رکھتے ہوئے پیش کرتے ہیں، ایک حفاظتی سطح جو اس کے استعمال شدہ یا فراہم کردہ ذاتی ڈیٹا کی پروسیسنگ کے خطرے کے مطابق ہے۔
• 3.5 ڈیٹا پروسیسر اٹھائے گئے حفاظتی اقدامات میں تبدیلیاں کر سکتا ہے اگر اس کی رائے میں یہ مناسب سطح کی حفاظت فراہم کرنے کے لیے ضروری ہے۔ ڈیٹا پروسیسر اہم تبدیلیوں کو ریکارڈ کرے گا، مثال کے طور پر ترمیم شدہ ڈیٹا پرو اسٹیٹمنٹ میں، اور جہاں متعلقہ ہو ان تبدیلیوں کے بارے میں کلائنٹ کو مطلع کرے گا۔
• 3.6 کلائنٹ ڈیٹا پروسیسر سے مزید حفاظتی اقدامات کرنے کی درخواست کر سکتا ہے۔ ڈیٹا پروسیسر اس طرح کی درخواست پر اپنے حفاظتی اقدامات میں تبدیلیاں کرنے کے پابند نہیں ہے۔ ڈیٹا پروسیسر کلائنٹ سے کلائنٹ کی درخواست پر کی گئی تبدیلیوں سے متعلق اخراجات وصول کر سکتا ہے۔ کلائنٹ کے مطلوبہ ترمیم شدہ حفاظتی اقدامات پر فریقین کی طرف سے تحریری طور پر اتفاق اور دستخط ہونے کے بعد ہی، ڈیٹا پروسیسر ان حفاظتی اقدامات کو عملی جامہ پہنانے کا پابند ہے۔

آرٹیکل 4۔ ذاتی ڈیٹا کی خلاف ورزی

• 4.1 ڈیٹا پروسیسر اس بات کی ضمانت نہیں دیتا کہ حفاظتی اقدامات تمام حالات میں موثر ہیں۔ اگر ڈیٹا پروسیسر کو ذاتی ڈیٹا (جیسا کہ آرٹیکل 4 ذیلی 12 اوسط میں کہا گیا ہے) کے سلسلے میں کسی خلاف ورزی کا پتہ چلتا ہے، تو وہ بلا ضرورت تاخیر کے کلائنٹ کو مطلع کرے گا۔ ڈیٹا پرو اسٹیٹمنٹ (ڈیٹا لیک پروٹوکول کے تحت) یہ بتاتا ہے کہ ڈیٹا پروسیسر کس طرح کلائنٹ کو ذاتی ڈیٹا کے سلسلے میں خلاف ورزیوں کے بارے میں مطلع کرتا ہے۔
• 4.2 یہ کنٹرولر (کلائنٹ، یا اس کے گاہک) پر منحصر ہے کہ وہ اس بات کا جائزہ لے کہ آیا ذاتی ڈیٹا کی خلاف ورزی جس کے بارے میں ڈیٹا پروسیسر نے مطلع کیا ہے اس کی اطلاع AP یا ڈیٹا سبجیکٹ کو دی جانی چاہیے۔ ذاتی ڈیٹا کے سلسلے میں خلاف ورزیوں کی رپورٹنگ، جس کی اطلاع آرٹیکل 33 اور 34 GDPR کے مطابق AP اور/یا ڈیٹا سبجیکٹ کو دی جانی چاہیے، ہر وقت کنٹرولر (کلائنٹ یا اس کے صارف) کی ذمہ داری رہتی ہے۔ ڈیٹا پروسیسر AP اور/یا ڈیٹا سبجیکٹ کو ذاتی ڈیٹا کی خلاف ورزیوں کی اطلاع دینے کا پابند نہیں ہے۔
• 4.3 ڈیٹا پروسیسر، اگر ضروری ہو تو، ذاتی ڈیٹا کے سلسلے میں خلاف ورزی کے بارے میں مزید معلومات فراہم کرے گا اور ایک نوٹیفکیشن کے مقصد کے لیے کلائنٹ کو ضروری معلومات فراہم کرنے میں تعاون کرے گا جیسا کہ آرٹیکل 33 اور 34 اوسط میں بتایا گیا ہے۔
• 4.4 ڈیٹا پروسیسر اس سیاق و سباق میں آنے والے معقول اخراجات کلائنٹ سے اس وقت کے قابل اطلاق نرخوں پر وصول کر سکتا ہے۔

آرٹیکل 5۔ رازداری

• 5.1 ڈیٹا پروسیسر اس بات کی ضمانت دیتا ہے کہ جو لوگ ذاتی ڈیٹا کو اس کی ذمہ داری کے تحت پروسیس کرتے ہیں ان کی رازداری کا فرض ہے۔
• 5.2 ڈیٹا پروسیسر فریق ثالث کو ذاتی ڈیٹا فراہم کرنے کا حقدار ہے، اگر عدالتی فیصلے، قانونی ضابطے یا حکومتی اتھارٹی کے مجاز حکم کی بنیاد پر فراہمی ضروری ہے۔
• 5.3 تمام رسائی اور/یا شناختی کوڈز، سرٹیفکیٹس، ڈیٹا پروسیسر کی طرف سے کلائنٹ کو فراہم کردہ رسائی اور/یا پاس ورڈ پالیسی سے متعلق معلومات اور ڈیٹا پروسیسر کی طرف سے کلائنٹ کو فراہم کردہ تمام معلومات جو ڈیٹا پرو سٹیٹمنٹ میں شامل تکنیکی اور تنظیمی حفاظتی اقدامات کو لاگو کرتی ہیں خفیہ ہیں۔ اور کلائنٹ کے ذریعہ ایسا سلوک کیا جائے گا اور صرف کلائنٹ کے مجاز ملازمین کو بتایا جائے گا۔ کلائنٹ اس بات کو یقینی بناتا ہے کہ اس کے ملازمین اس آرٹیکل کے تحت ذمہ داریوں کی تعمیل کریں۔

آرٹیکل 6۔ مدت اور برطرفی

• 6.1 یہ پروسیسر معاہدہ معاہدے کا حصہ بنتا ہے اور اس سے پیدا ہونے والا کوئی بھی نیا یا مزید معاہدہ، معاہدے کے اختتام کے وقت لاگو ہوتا ہے اور غیر معینہ مدت کے لیے ختم ہوتا ہے۔
• 6.2 یہ پروسیسر معاہدہ معاہدے کے خاتمے یا فریقین کے درمیان کسی نئے یا مزید معاہدے پر قانون کے عمل سے ختم ہوتا ہے۔
• 6.3 پروسیسنگ معاہدے کے ختم ہونے کی صورت میں، ڈیٹا پروسیسر ڈیٹا پرو اسٹیٹمنٹ میں شامل مدت کے اندر کلائنٹ سے حاصل کردہ تمام ذاتی ڈیٹا کو اس طرح حذف کر دے گا کہ اسے مزید استعمال نہیں کیا جا سکے گا اور نہ ہی اب قابل رسائی (ناقابل رسائی رینڈر)، یا، اگر متفق ہو، تو اسے مشین پڑھنے کے قابل فارمیٹ میں کلائنٹ کو واپس کریں۔
• 6.4 ڈیٹا پروسیسر کلائنٹ سے آرٹیکل 6.3 کی دفعات کے تناظر میں کوئی بھی قیمت وصول کر سکتا ہے۔ اس بارے میں مزید معاہدوں کو ڈیٹا پرو بیان میں رکھا جا سکتا ہے۔
• 6.5 آرٹیکل 6.3 کی دفعات لاگو نہیں ہوتی ہیں اگر کوئی قانونی ضابطہ ڈیٹا پروسیسر کو ذاتی ڈیٹا کو مکمل یا جزوی طور پر ہٹانے یا واپس کرنے سے روکتا ہے۔ ایسی صورت میں، ڈیٹا پروسیسر صرف اپنی قانونی ذمہ داریوں کے تحت ضروری حد تک ذاتی ڈیٹا پر کارروائی جاری رکھے گا۔ آرٹیکل 6.3 کی دفعات بھی لاگو نہیں ہوتی ہیں اگر ڈیٹا پروسیسر GDPR کے معنی میں ذاتی ڈیٹا کے حوالے سے کنٹرولر ہے۔

آرٹیکل 7. ڈیٹا کے مضامین کے حقوق، ڈیٹا پروٹیکشن امپیکٹ اسیسمنٹ (DPIA) اور آڈٹ کے حقوق

• 7.1 ڈیٹا پروسیسر، جہاں ممکن ہو، کلائنٹ کی معقول درخواستوں کے ساتھ تعاون کرے گا جو ڈیٹا سبجیکٹس کے ذریعے کلائنٹ سے مانگے گئے ڈیٹا سبجیکٹ کے حقوق سے متعلق ہیں۔ اگر ڈیٹا پروسیسر کو ڈیٹا کے موضوع کے ذریعے براہ راست رابطہ کیا جاتا ہے، تو وہ اس شخص کو کلائنٹ کے پاس بھیجے گا جہاں ممکن ہو گا۔
• 7.2 اگر کلائنٹ ایسا کرنے کا پابند ہے، تو ڈیٹا پروسیسر ڈیٹا پروٹیکشن امپیکٹ اسسمنٹ (DPIA) یا اس کے بعد کی پیشگی مشاورت کے ساتھ تعاون کرے گا جیسا کہ آرٹیکل 35 اور 36 اوسط میں بتایا گیا ہے۔
• 7.3 ڈیٹا پروسیسر کلائنٹ کی طرف سے ذاتی ڈیٹا کو ہٹانے کی درخواستوں کے ساتھ تعاون کرے گا کیونکہ کلائنٹ خود یہ کام نہیں کر سکتا۔
• 7.4 کلائنٹ کی درخواست پر، ڈیٹا پروسیسر مزید تمام معلومات بھی دستیاب کرائے گا جو اس پروسیسنگ معاہدے میں کیے گئے معاہدوں کی تعمیل کو ظاہر کرنے کے لیے معقول حد تک ضروری ہے۔ اگر اس کے باوجود کلائنٹ کے پاس یہ یقین کرنے کی وجہ ہے کہ ذاتی ڈیٹا کی پروسیسنگ پروسیسنگ معاہدے کے مطابق نہیں ہوتی ہے، تو سال میں زیادہ سے زیادہ ایک بار کسی آزاد، مصدقہ، بیرونی ماہر سے مشورہ کیا جا سکتا ہے جس کے پاس اس قسم کا قابلِ تجربہ تجربہ ہو۔ پروسیسنگ جو کہ معاہدے کی بنیاد پر کی جاتی ہے۔ آڈٹ ذاتی ڈیٹا کی پروسیسنگ سے متعلق معاہدوں کی تعمیل کی جانچ تک محدود رہے گا جیسا کہ اس پروسیسر معاہدے میں بیان کیا گیا ہے۔ ماہر کے پاس اس کے بارے میں رازداری کا فرض ہوگا جو اسے ملے گا اور وہ کلائنٹ کو صرف اس کی اطلاع دے گا جس کے نتیجے میں اس پروسیسر معاہدے کے تحت ڈیٹا پروسیسر کی ذمہ داریوں کی تکمیل میں کوئی کمی واقع ہوتی ہے۔ ماہر اپنی رپورٹ کی ایک کاپی ڈیٹا پروسیسر کو فراہم کرے گا۔ ڈیٹا پروسیسر ماہر کی طرف سے آڈٹ یا ہدایات سے انکار کر سکتا ہے اگر، اس کی رائے میں، یہ GDPR یا دیگر قانون سازی کی خلاف ورزی کرتا ہے یا اس نے اٹھائے گئے حفاظتی اقدامات کی نا جائز خلاف ورزی کی ہے۔
• 7.5 فریقین رپورٹ کے نتائج کے بارے میں جلد از جلد مشاورت کریں گے۔ فریقین رپورٹ میں پیش کردہ بہتری کے مجوزہ اقدامات پر عمل کریں گے کیونکہ ان سے معقول حد تک اس کی توقع کی جا سکتی ہے۔ ڈیٹا پروسیسر تجویز کردہ بہتری کے اقدامات کو اس حد تک نافذ کرے گا جہاں تک وہ اس کی رائے میں مناسب ہوں، اس کے پروڈکٹ یا سروس سے منسلک پروسیسنگ کے خطرات، آرٹ کی حالت، عمل درآمد کے اخراجات، وہ مارکیٹ جس میں یہ کام کرتا ہے، اور پروڈکٹ یا سروس کا مطلوبہ استعمال۔ سروس۔
• 7.6 ڈیٹا پروسیسر کو یہ حق حاصل ہے کہ وہ کلائنٹ سے اس مضمون کی دفعات کے تناظر میں ہونے والے اخراجات وصول کرے۔

آرٹیکل 8۔ ذیلی پروسیسرز

• 8.1 ڈیٹا پروسیسر نے ڈیٹا پرو اسٹیٹمنٹ میں بتایا ہے کہ آیا، اور اگر ایسا ہے تو کون سا فریق ثالث (سب پروسیسرز یا سب پروسیسرز) ڈیٹا پروسیسر ذاتی ڈیٹا کی پروسیسنگ میں مصروف ہے۔
• 8.2 کلائنٹ ڈیٹا پروسیسر کو اجازت دیتا ہے کہ وہ معاہدے سے پیدا ہونے والی اپنی ذمہ داریوں کو انجام دینے کے لیے دوسرے ذیلی پروسیسرز کو شامل کرے۔
• 8.3 ڈیٹا پروسیسر کلائنٹ کو ڈیٹا پروسیسر کی طرف سے مصروف تیسرے فریقوں میں تبدیلی کے بارے میں مطلع کرے گا، مثال کے طور پر ترمیم شدہ ڈیٹا پرو سٹیٹمنٹ کے ذریعے۔ کلائنٹ کو ڈیٹا پروسیسر کی مذکورہ تبدیلی پر اعتراض کرنے کا حق ہے۔ ڈیٹا پروسیسر اس بات کو یقینی بناتا ہے کہ اس کے ذریعے منسلک تیسرے فریق ذاتی ڈیٹا کے تحفظ کے حوالے سے اسی حفاظتی سطح کا عہد کرتے ہیں جس حفاظتی سطح کا ڈیٹا پرو سٹیٹمنٹ کی بنیاد پر ڈیٹا پروسیسر کلائنٹ کا پابند ہے۔

آرٹیکل 9۔ دیگر

یہ معیاری پروسیسنگ شقیں، ڈیٹا پرو اسٹیٹمنٹ کے ساتھ، معاہدے کا ایک لازمی حصہ بنتی ہیں۔ معاہدے کے تحت تمام حقوق اور ذمہ داریاں، بشمول قابل اطلاق عمومی شرائط و ضوابط اور/یا ذمہ داری کی حدود، اس لیے پروسیسنگ معاہدے پر بھی لاگو ہوتے ہیں۔