PDPL کا قانونی فریم ورک

PDPL UAE باشندوں کے ذاتی ڈیٹا کی پروسیسنگ پر لاگو ہوتا ہے، چاہے پروسیسنگ UAE کے اندر ہو یا باہر، اور چاہے کنٹرولر یا پروسیسر UAE میں قائم ہو یا بیرون ملک سے کام کرے۔ اس لیے علاقائی دائرہ کار اسی طرح علاقے سے باہر ہے جیسا GDPR ہے — لندن یا سنگاپور سے کام کرنے والا ناشر جو UAE باشندوں کے بارے میں ڈیٹا پروسیس کرتا ہے، دائرہ کار میں ہے۔ نگران اتھارٹی UAE Data Office ہے، جو اسی قانون سازی پیکیج کے تحت قائم کی گئی ہے، جس نے نفاذ پر ایک محتاط لیکن تیزی سے فعال موقف اختیار کیا ہے۔

GDPR کے ساتھ کام کرنے والے ہر شخص کو PDPL کے بنیادی اصول مانوس لگیں گے: قانونی بنیاد، مقصد کی حد بندی، ڈیٹا کم سے کم، درستگی، اسٹوریج کی حد بندی، سالمیت اور رازداری، اور احتساب۔ Article 4 کے تحت قانونی بنیادوں میں رضامندی، معاہدے کی کارکردگی، قانونی ذمہ داری، اہم مفادات، عوامی مفاد، اور قانونی مفادات شامل ہیں، ہر ایک کا اپنا دائرہ کار اور شرائط ہیں۔ آن لائن ٹریکنگ کے لیے متعلقہ بنیادیں رضامندی اور، محدود حالات میں، قانونی مفاد ہیں۔ رضامندی کے بغیر ذاتی ڈیٹا اکٹھا کرنے والی پہلے سے انسٹال کوکیز اسی طرح کی خلاف ورزی ہیں جیسا GDPR کے تحت ہوتی۔

PDPL کے تحت ذاتی ڈیٹا کیا ہے

PDPL کی ذاتی ڈیٹا کی تعریف وسیع ہے اور GDPR کے قریب ہے: کسی بھی شناخت شدہ یا قابل شناخت فطری شخص سے متعلق کوئی بھی ڈیٹا، بشمول آن لائن شناخت کنندگان۔ کوکیز جو مستقل طور پر ایک ڈیوائس کی شناخت کرتی ہیں، IP پتے جو دوسرے ڈیٹا کے ساتھ پروسیس کیے جاتے ہیں، اشتہاری IDs، اور فنگر پرنٹ طرز کے شناخت کنندگان سب دائرہ کار میں آتے ہیں۔ UAE Data Office کی نفاذی رہنمائی نے تصدیق کی ہے کہ EU میں رویے اور اشتہاری کوکیز پر لاگو تجزیہ UAE میں بنیادی طور پر اسی شکل میں لاگو ہوتا ہے — جو مختلف ہے وہ نفاذ کا ڈھانچہ ہے، نہ کہ اصل معیار۔

PDPL صحت کی معلومات، جینیاتی اور بائیو میٹرک ڈیٹا، مذہبی عقیدہ، مجرمانہ ریکارڈ، اور اسی طرح کی اقسام کا احاطہ کرتے ہوئے سخت تر ہینڈلنگ ضروریات کے ساتھ حساس ذاتی ڈیٹا کی ایک قسم بھی بیان کرتا ہے۔ ان میں سے کوئی بھی ڈیٹا اکٹھا کرنے والی کوکیز کو واضح رضامندی اور اضافی حفاظتی اقدامات کی ضرورت ہوتی ہے۔

PDPL کے تحت کوکی رضامندی

PDPL میں اس طرح کوکی سے متعلق کوئی مخصوص دفعہ نہیں ہے جیسا EU کی ePrivacy Directive میں ہے۔ اس کی بجائے، رضامندی کی ضرورت Article 6 سے آتی ہے، جو درست رضامندی کا عمومی معیار طے کرتی ہے: یہ مخصوص، غیر مبہم، آگاہ، اور آزادانہ طور پر دی گئی ہونی چاہیے، اور ڈیٹا کے موضوع کو اتنی آسانی سے رضامندی واپس لینے کے قابل ہونا چاہیے جتنی آسانی سے انہوں نے دی تھی۔ UAE Data Office نے اس معیار کی تشریح اس طرح کی ہے کہ اس کے لیے درکار ہے:

• ایک واضح اثباتی عمل غیر ضروری کوکیز فعال ہونے سے پہلے۔ مسلسل براؤزنگ، اسکرولنگ، یا مضمر رضامندی کافی نہیں ہے۔
• تفصیلی زمرہ کنٹرول سختی سے ضروری کوکیز کو تجزیات اور اشتہارات سے الگ کرتے ہوئے، وزیٹر کو کچھ قبول کرنے اور دوسروں کو مسترد کرنے کے قابل بناتے ہوئے۔
• ایک واضح واپسی کا طریقہ کار جو کسی بھی صفحے سے قابل رسائی ہو جہاں ٹریکنگ فعال ہے، واپسی فوری طور پر نافذ ہونے کے ساتھ۔
• رضامندی کے فیصلے کی دستاویزات Article 5 کے تحت احتساب کی ضرورت کو پورا کرنے کے لیے کافی۔

عملی طور پر یہ وہی آپریشنل معیار ہے جو ایک ناشر GDPR کے لیے بنائے گا۔ ایک بینر جو EDPB Cookie Banner Taskforce معیار کو پاس کرتا ہے وہ PDPL کو پورا کرے گا؛ جو ان پر ناکام ہوتا ہے وہ PDPL جانچ کے تحت بھی ناکام ہوگا۔

سرحد پار ڈیٹا منتقلی

PDPL کی سب سے مخصوص خصوصیات میں سے ایک اس کا سرحد پار منتقلی کا فریم ورک ہے۔ PDPL کے Articles 22 and 23 وہ شرائط طے کرتے ہیں جن کے تحت ذاتی ڈیٹا UAE سے باہر منتقل کیا جا سکتا ہے، جو GDPR کے باب V کے متوازی — لیکن یکساں نہیں — لائنوں کے ساتھ ترتیب دی گئی ہے۔

مناسبیت طرز کی تعیینات

PDPL UAE Data Office کو ملکوں کو مناسب تحفظ فراہم کرنے والے کے طور پر نامزد کرنے کی اجازت دیتا ہے۔ موجودہ فہرست یورپی کمیشن کی فہرست سے چھوٹی ہے اور اس کے ارتقاء کی توقع ہے۔ جب تک کوئی ملک نامزد نہیں ہوتا، منتقلی کو دوسرے قانونی طریقہ کاروں میں سے ایک کی ضرورت ہوتی ہے۔

معیاری معاہداتی انتظامات

PDPL مناسب معاہداتی حفاظتی اقدامات کی حمایت یافتہ منتقلی کی اجازت دیتا ہے، جو EU SCCs سے ڈھانچے میں ملتے جلتے ہیں۔ بہت سے UAE کنٹرولرز کسٹم معاہداتی ضمیموں کے ساتھ کام کرتے ہیں جو UAE Data Office درخواست پر جائزہ لیتا ہے۔

مخصوص استثناءات

واضح رضامندی، معاہدے کی کارکردگی، اور اہم مفادات کے استثناءات دستیاب ہیں لیکن تنگی سے تشریح کیے جاتے ہیں۔ منتقلی کے لیے رضامندی پر معمول کا انحصار — جسے GDPR کے تحت اکثر منظم کے بجائے استثنائی سمجھا جاتا ہے — یہاں اسی طرح برتا جاتا ہے۔

آن لائن ناشرین کے لیے، عملی اثر یہ ہے کہ کوکی رضامندی ریکارڈ کو اب منتقلی احتساب ذمہ داری کی بھی حمایت کرنی ہوگی۔ اگر UAE میں کوئی وزیٹر ایسی کوکیز قبول کرتا ہے جو ان کا ڈیٹا امریکی ad-tech وینڈر کو روٹ کرتی ہیں، تو CMP کو اس بہاؤ کو مجاز بنانے والے منتقلی آلے کو ظاہر کرنے کے قابل ہونا چاہیے۔

شعبہ جاتی اور فری زون تحفظات

UAE کا پرائیویسی منظر نامہ تہہ دار ہے۔ وفاقی PDPL وسیع طور پر لاگو ہوتا ہے، لیکن کئی فری زون — Dubai International Financial Centre (DIFC)، Abu Dhabi Global Market (ADGM)، اور Dubai Healthcare City — اپنے ڈیٹا تحفظ کے نظام چلاتے ہیں جو PDPL سے پہلے کے ہیں۔ DIFC ڈیٹا تحفظ قانون نمبر 5 از 2020 اور ADGM ڈیٹا تحفظ ضوابط 2021 دونوں GDPR سے ہم آہنگ ہیں اور اپنے اپنے زونز میں لاگو ہوتے ہیں۔ متعدد زونز میں کام کرنے والے ناشرین کو وفاقی PDPL کو قابل اطلاق فری زون فریم ورک کے ساتھ ہم آہنگ کرنا ہوگا؛ زیادہ تر معاملات میں اصل معیار ایک ہو جاتے ہیں لیکن نگران چینل مختلف ہے۔

UAE Data Office نے کیا اشارے دیے ہیں

UAE Data Office اپنے نفاذی موقف میں ارادی رہا ہے، اعلیٰ حجم جرمانے کے نظام پر صلاحیت سازی، شعبہ مشاورت، اور اہم مقدمات کو ترجیح دیتا ہے۔ عوامی رہنمائی دستاویزات نے اس بات پر زور دیا ہے:

بینر ڈیزائن

UAE Data Office نے بینر ڈیزائن پر EDPB طرز معیار کے ساتھ صف بندی کی ہے، غائب مسترد بٹنوں، دھوکہ دہی پر مبنی لنک اسٹائلنگ، اور پہلے سے ٹک کیے گئے چیک باکسز کو عام خامیوں کے طور پر دیکھتا ہے جن کا تدارک ضروری ہے۔ توقع یورپی اصولوں سے ہم آہنگی کی ہے۔

سرحد پار شفافیت

UAE Data Office نے اشارہ دیا ہے کہ بین الاقوامی منتقلی خاص توجہ کا موضوع ہوگی، خاص طور پر جہاں ذاتی ڈیٹا نامزد مناسبیت کے بغیر دائرہ اختیار تک روٹ کیا جاتا ہے۔ منتقلی کے طریقہ کار کی دستاویز احتساب کی ضرورت کے طور پر دیکھی جاتی ہے، اختیاری نہیں۔

عربی زبان میں انکشاف

اگرچہ PDPL عربی کو لازمی نہیں بناتا، UAE Data Office نے اشارہ کیا ہے کہ جہاں سامعین بنیادی طور پر عربی بولنے والے ہوں وہاں انکشافات عربی میں دستیاب ہونے چاہئیں، رسائی اور شواہد کے مقاصد دونوں کے لیے۔

ایک عملی تعمیل چیک لسٹ

UAE ٹریفک کے لیے کوکی بینر کے لیے جواب دینے کے لیے چھ ٹھوس سوالات۔

1. ٹریکنگ سے پہلے اثباتی رضامندی

کیا غیر ضروری کوکیز اسکرپٹ لوڈر کی سطح پر اس وقت تک بلاک کی گئی ہیں جب تک وزیٹر اثباتی عمل نہ کرے؟ پہلے سے فعال ٹریکرز پر بینر کی پہلے سے لوڈنگ ایک per se خلاف ورزی ہے۔

2. تفصیلی زمرے

کیا بینر ضروری، تجزیاتی، اور اشتہاری زمرے الگ کرتا ہے، آزاد ٹوگل کے ساتھ؟ تفصیل کے بغیر بنڈل شدہ سب قبول کرنا ایک خامی ہے۔

3. عربی زبان کی دستیابی

کیا بینر عربی بولنے والے وزیٹرز کا پتہ لگاتا ہے اور ڈیفالٹ کے طور پر عربی میں پیش کرتا ہے، انگریزی کے ساتھ قابل تبدیل متبادل کے طور پر؟ UAE Data Office نے واضح طور پر زبان کی رسائی کو نشان زد کیا ہے۔

4. واپسی تک رسائی

کیا واپسی کنٹرول مستقل اور ہر صفحے سے قابل رسائی ہے؟ فوٹر لنک میں دفن ملٹی اسٹیپ ترتیبات اتنی آسانی سے واپس لینے کے معیار کو پورا نہیں کرتیں جتنی آسانی سے دینا۔

5. سرحد پار منتقلی دستاویزات

ہر کوکی کے لیے جو بین الاقوامی منتقلی کو متحرک کرتی ہے، کیا منتقلی کا طریقہ کار (مناسبیت، معاہداتی حفاظتی اقدام، استثناء) دستاویز کیا گیا ہے اور درخواست پر پیش کیا جا سکتا ہے؟

6. رضامندی لاگنگ

کیا سسٹم ہر رضامندی کے فیصلے کو ٹائم اسٹیمپ، بینر ورژن، انتخاب، اور وزیٹر دائرہ اختیار کے ساتھ ریکارڈ کرتا ہے تاکہ ناشر شواہد کے ساتھ UAE Data Office کی تحقیقات کا جواب دے سکے؟

PDPL علاقائی تصویر میں کہاں فٹ ہوتا ہے

UAE PDPL پچھلے چند سالوں میں نافذ ہونے والے کئی خلیجی پرائیویسی فریم ورکوں میں سے ایک ہے — سعودی عرب کا PDPL، بحرین کا ذاتی ڈیٹا تحفظ قانون، قطر کا ذاتی ڈیٹا پرائیویسی قانون، اور عمان کا ذاتی ڈیٹا تحفظ قانون سب اس کے ساتھ کام کرتے ہیں۔ خطے بھر میں اصل معیار GDPR سے ہم آہنگ اصولوں پر یکجا ہو رہے ہیں، نگران ڈھانچے، منتقلی کے طریقہ کاروں، اور شعبہ جاتی استثناءات میں قومی تغیرات کے ساتھ۔ پورے خلیج میں کام کرنے والے ناشرین کے لیے، اعلیٰ معیار کے مطابق ایک بار بنانا — تفصیلی رضامندی، مستقل واپسی، دستاویز شدہ منتقلی، عربی زبان کی حمایت، آڈٹ گریڈ لاگنگ — اسی CMP بنیادی ڈھانچے کے ذریعے علاقائی تعمیل کو سنبھالتا ہے جو یورپی تعمیل کو سنبھالتا ہے۔ UAE بہت سے لحاظ سے علاقائی اشاریہ ہے: جہاں UAE Data Office حرکت کرتا ہے، پڑوسی ریگولیٹر پیروی کرتے ہیں۔