DPOs کو گمنامی ٹولز کی جانچ کیوں کرنی چاہیے
GDPR اعلیٰ خطرے والے کام کے لیے Data Protection Impact Assessment (DPIA) لازمی قرار دیتا ہے۔ بڑے پیمانے پر PII پروسیسنگ اعلیٰ خطرہ ہے۔ ایک گمنامی ٹول ڈیٹا processor ہے۔ یہ processor قوانین کے تحت آتا ہے۔ آپ کو اسے لائیو کرنے سے پہلے جانچنا ہوگا۔
دو چیزیں ضروری ہیں: Processors کو سیکیورٹی کے لیے "کافی ضمانتیں" پیش کرنی چاہئیں، اور تمام پروسیسنگ کو تحریری معاہدے کے ذریعے کنٹرول کیا جانا چاہیے۔ بطور DPO، ٹول کے سیکیورٹی کنٹرولز، اس کے sub-processors، یہ آپ کی فائلیں کہاں host کرتا ہے، یہ خلاف ورزیوں کو کیسے سنبھالتا ہے، اور data processing agreement (DPA) ریکارڈ کریں۔
ISO 27001 سرٹیفکیشن یہ کام آسان بناتی ہے۔ BSI نے پایا کہ سرٹیفائیڈ فرمیں سیکیورٹی سوالناموں پر وقت 73% کم کرتی ہیں۔ Gartner نے پایا کہ ISO 27001 Fortune 500 کی 78% بولیوں میں ضروری ہے۔ سرٹیفائیڈ ٹول آپ کو سرٹیفکیٹ کا حوالہ دینے کی اجازت دیتا ہے — آپ کو ہر کنٹرول کو ہاتھ سے چیک نہیں کرنا پڑتا۔ غیر سرٹیفائیڈ ٹولز کو مزید دستی جائزے کی ضرورت ہوتی ہے۔
ہم یہ قوانین کیسے پورے کرتے ہیں، یہ جاننے کے لیے ہمارا تعمیل جائزہ اور سیکیورٹی صفحہ دیکھیں۔
سات چیزیں جو چیک کریں
کسی بھی گمنامی ٹول یا سپلائر کے لیے یہ فہرست استعمال کریں۔
1. ڈیٹا پروسیسنگ معاہدہ۔ کیا GDPR کے مطابق DPA موجود ہے؟ اس میں شامل ہونا چاہیے: صرف آپ کے احکامات پر پروسیسنگ، احتیاط کا فرض، سیکیورٹی اقدامات، sub-processors کا کنٹرول، حقوق کی درخواستوں میں مدد، فائلوں کو ضائع کرنا یا واپس کرنا، اور آڈٹ کے حقوق۔
2. سیکیورٹی ریکارڈز۔ کیا سیکیورٹی اقدامات تحریری ہیں؟ ISO 27001 سرٹیفائیڈ سپلائرز اپنے سرٹیفکیٹ اور Statement of Applicability کی طرف اشارہ کر سکتے ہیں۔ یہ ضرورت پوری کرتا ہے۔
3. Sub-processor کی فہرست۔ کیا ٹول sub-processors استعمال کرتا ہے؟ کیا ان کے نام ہیں؟ آپ کو کسی بھی تبدیلی کی پہلے سے اطلاع درکار ہے۔ Cloud hosts، CDNs، اور OCR ٹول سب شامل ہیں۔ لاپتہ نام ایک عام کمی ہے۔
4. فائلیں کہاں host ہیں۔ کیا آپ کا ڈیٹا EU میں host ہے؟ EU ہوسٹنگ EU پر مبنی فرموں کے لیے آسان ترین ہے۔ Zero-knowledge ٹول بھی ٹھیک ہیں — کوئی فائلیں آپ کے آلے سے باہر نہیں جاتیں۔ امریکی سپلائرز کو Standard Contractual Clauses (SCCs) درکار ہیں۔
5. خلاف ورزی کا نوٹس۔ سپلائر آپ کو خلاف ورزی کے بارے میں کتنی جلدی بتائے گا؟ قانون آپ کے ریگولیٹر کو 72 گھنٹوں میں نوٹس کا تقاضا کرتا ہے۔ آپ کے سپلائر کو پہلے آپ کو خبردار کرنا ہوگا۔ چیک کریں کہ DPA اس کی تصدیق کرتا ہو۔
6. سپلائر DPIA۔ کیا سپلائر نے اپنا DPIA کیا ہے؟ کیا آپ اسے پڑھ سکتے ہیں؟ کوئی DPIA نہیں تو آپ کے اپنے ریکارڈ میں کمی ہے۔ یہ ایک عام مسئلہ ہے۔
7. مٹانا اور portability۔ کیا سپلائر مٹانے اور portability کی درخواستوں کو سنبھال سکتا ہے؟ Zero-knowledge ٹول کوئی فائلیں نہیں رکھتے، اس لیے مٹانا لاگو نہ ہو۔ DPIA کو یہ کہنا چاہیے۔
ایک اچھا سپلائر آپ کو چار اشیاء دیتا ہے: ISO 27001 سرٹیفکیٹ، EU ہوسٹنگ کا ثبوت، ان کا DPIA، اور دستخط شدہ DPA۔ یہ چار اشیاء آپ کے اپنے DPIA میں ہر کمی کو پُر کرتی ہیں۔ آپ کا ریگولیٹر مطمئن ہوگا۔
سپلائر چیکس کے بارے میں عام سوالات کے لیے ہمارا DPO FAQ پڑھیں۔