تحقیقی اشاعت میں ذاتی معلومات: اسکرین شاٹ اور GDPR

2026 کے لیے اپ ڈیٹ شدہ — تحقیقی گروپوں کے خلاف GDPR enforcement بڑھ گئی ہے۔ یہ خطرہ شائع شدہ کاموں میں عام رہتا ہے۔

Methodology Screenshot کا مسئلہ

بہت سے علمی مقالوں میں analysis ٹولز کے screenshots شامل ہوتے ہیں۔ مقصد طریقہ کار دکھانا ہے۔ لیکن وہ screenshots حقیقی ذاتی ریکارڈ ظاہر کر سکتے ہیں۔ زیادہ تر محققین اس خطرے کو نہیں دیکھتے۔

چار عام cases:

• ایک machine learning مقالہ pandas DataFrame دکھاتا ہے۔ پہلی 10 rows میں حقیقی مریض کے نام اور IDs ہیں۔
• ایک clinical study R output دکھاتی ہے۔ مریض کی values screen پر ہیں۔ Patient IDs margin میں نظر آتے ہیں۔
• ایک social science مقالہ SPSS tables دکھاتا ہے۔ حقیقی لوگوں کی survey responses نظر آتی ہیں۔
• ایک journal tutorial Jupyter notebook دکھاتا ہے۔ حقیقی user records sample rows کے طور پر استعمال ہوتے ہیں۔

ہر case میں مصنف کا ارادہ طریقہ کار دکھانا تھا۔ ذاتی ریکارڈ مقصد نہیں تھے۔ وہ صرف مثال کو حقیقی محسوس کرانے کے لیے تھے۔

لیکن "مقصد نہ ہونا" محفوظ نہیں ہے۔ GDPR Article 4(1) کہتا ہے کہ ذاتی ریکارڈ میں کسی شناخت شدہ شخص کے بارے میں کوئی بھی حقائق شامل ہیں۔ شائع شدہ مقالے میں مریض کا ریکارڈ ذاتی معلومات ہے۔ کوئی فرق نہیں اگر یہ screenshot میں ہے۔ Article 6 کے تحت consent یا قانونی بنیاد کے بغیر اسے شائع کرنا GDPR توڑتا ہے۔

اشاعت کے اصولوں کے بارے میں مزید جانکاری کے لیے GDPR conformance overview دیکھیں۔

یہ قانونی خطرہ کیوں پیدا کرتا ہے

تحقیقی گروپوں کو اب زیادہ GDPR enforcement کا سامنا ہے۔ اشاعت کی ناکامیاں ایک اہم trigger ہیں۔ چار خطرات نمایاں ہیں۔

Journal retraction۔ Article 17 لوگوں کو حذف کا حق دیتا ہے۔ یہ شائع شدہ ریکارڈ پر بھی لاگو ہوتا ہے۔ اگر کوئی شخص مقالے میں اپنی تفصیلات پائے، تو وہ ہٹانے کی درخواست کر سکتا ہے۔ journal کے لیے اس کا مطلب اکثر retraction ہوتا ہے۔ Retraction ایک محقق کے کیریئر کو نقصان پہنچاتی ہے۔

Ethics board findings۔ Ethics boards شائع شدہ کاموں کا جائزہ لیتی ہیں۔ وہ GDPR alignment چیک کرتی ہیں۔ انہوں نے screenshots میں ذاتی ریکارڈ دکھانے والے مقالوں کو flag کرنا شروع کیا ہے۔ یہ flags ایک محقق کے مستقبل کے کام کو متاثر کرتے ہیں۔

Data Access Agreement خلاف ورزیاں۔ تحقیقی datasets Data Access Agreements کے ساتھ آتی ہیں۔ یہ اصول طے کرتے ہیں کہ کیا شائع کیا جا سکتا ہے۔ ذاتی ریکارڈ والا screenshot agreement توڑ سکتا ہے۔ نتیجہ اکثر dataset تک رسائی کا خاتمہ ہے۔

Article 89 کی حدود۔ Article 89 سائنس کے لیے ذاتی معلومات کا استعمال کرنے کی اجازت دیتا ہے۔ یہ کچھ اصول نرم کرتا ہے۔ لیکن صرف وہاں جہاں مناسب safeguards موجود ہوں۔ de-identification کے بغیر screenshot میں ذاتی ریکارڈ دکھانا safeguard نہیں ہے۔ یہ breach ہے۔

یہ کتنی بار ہوتا ہے؟

یہ مسئلہ نادر نہیں ہے۔ یہ بہت سے شعبوں کی شائع شدہ تحقیق کو متاثر کرتا ہے۔

چند عوامل اسے چلاتے ہیں۔

Reproducibility کے اصول۔ Journals کو method details چاہیے۔ محققین اس ضرورت کو پورا کرنے کے لیے screenshots استعمال کرتے ہیں۔ وہ ہمیشہ یہ نہیں چیکتے کہ ہر تصویر میں کیا نظر آ رہا ہے۔

سخت deadlines۔ وقت کا دباؤ تیز screenshots کا سبب بنتا ہے۔ ہر تصویر میں exposed records کا جائزہ لینے کا وقت نہیں ہوتا۔

Images میں کم visibility۔ ایک DataFrame میں 20 columns ہو سکتی ہیں۔ نام اور IDs دور دائیں column میں ہو سکتے ہیں۔ محقق اہم column دیکھتا ہے، ID column نہیں۔

Submission پر کوئی چیک نہیں۔ Journal portals format checks اور plagiarism screens چلاتے ہیں۔ کوئی بھی images میں personal entities چیک نہیں کرتا۔ مقالہ live ہونے سے پہلے مسئلہ flag نہیں ہوتا۔

تحقیقی گروپوں کے لیے Screening Workflow

پیش از submission screening عمل ان مسائل کو روک سکتا ہے۔ اس میں سات مراحل ہیں۔

1. محقق تمام figures کے ساتھ مسودہ مکمل کرتا ہے۔
2. مسودہ اندرونی reviewer — PI یا privacy contact — کے پاس جاتا ہے۔
3. مسودے میں تمام image files پر Image PII detection چلتی ہے۔
4. رپورٹ ان images کو flag کرتی ہے جن میں قابل پڑھ متن ہے جو personal entity patterns سے ملتا ہے۔
5. محقق flagged images کا جائزہ لیتا ہے۔
6. ہر flagged image کے لیے: اسے صاف screenshot سے بدلیں۔ Patient ID 12847 کو ID 00001 سے swap کریں۔ حقیقی نام "Patient A" سے بدلیں۔
7. آخری مسودہ صاف images کے ساتھ journal کو جاتا ہے۔

تکنیکی اختیارات:

• دستی: مسودے کی images export کریں۔ batch PII detection چلائیں۔ رپورٹ کا جائزہ لیں۔
• نیم خودکار: مسودوں کے لیے shared folder استعمال کریں۔ ہر ہفتے نئی فائلوں پر batch پروسیسنگ چلائیں۔
• Workflow-integrated: submission portal میں screening step شامل کریں۔

کیس اسٹڈی: یورپی یونیورسٹی

ایک تحقیقی گروپ نے اپنے مسودے کے workflow میں image PII screening شامل کی۔ ایک near-miss نے تبدیلی کی۔ جائزے میں ایک مقالے میں DataFrame screenshot میں مریض کے نام تھے۔

انہوں نے کیا کیا:

• journal submission سے پہلے تمام مسودے کے مقالوں کو image PII کے لیے پروسیس کیا گیا۔
• Screening ہر مسودے میں تمام PNG، JPG، اور PDF figures کا احاطہ کرتی تھی۔
• ایک privacy contact نے نتائج کا جائزہ لیا۔

چھ مہینوں میں نتائج:

• 23 مسودے screen کیے گئے۔
• 7 مسودوں (30%) میں کم از کم ایک image میں personal entities تھیں۔
• ملنے والی اقسام: DataFrames میں مریض کے نام (4 مقالے)۔
• patient formats سے ملتے user IDs (2 مقالے)۔
• screenshot margins میں ای میل addresses (1 مقالہ)۔
• submission سے پہلے تمام 7 ٹھیک کیے گئے۔
• submission کے بعد کوئی retraction درخواستیں یا ethics findings نہیں۔

Ethics board اب اس workflow کو Article 89 کے تحت ایک ماڈل "appropriate safeguard" کے طور پر cite کرتی ہے۔

ذرائع

• GDPR Article 89: Safeguards for Scientific Research
• GDPR Article 17: Right to Erasure
• ICO: Research, Public Interest and Scientific Purposes