हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंऑस्ट्रेलिया गोपनीयता अधिनियम: व्यवसाय अनुपालन और डेटा हैंडलिंग
ऑस्ट्रेलिया का गोपनीयता अधिनियम 1988 (सीटीएच) ऑस्ट्रेलियाई लोगों की व्यक्तिगत जानकारी की रक्षा करने वाला प्राथमिक संघीय गोपनीयता कानून है। गोपनीयता विधान संशोधन (ऑनलाइन गोपनीयता और अन्य उपायों को बढ़ाना) अधिनियम 2021 और गोपनीयता और अन्य विधान संशोधन अधिनियम 2024 के माध्यम से महत्वपूर्ण रूप से मजबूत किया गया, ऑस्ट्रेलिया का गोपनीयता ढांचा 2014 में ऑस्ट्रेलियाई गोपनीयता सिद्धांतों (एपीपी) की शुरूआत के बाद से अपने सबसे महत्वपूर्ण सुधार के दौर से गुजर रहा है।
2024 के सुधारों ने गोपनीयता के गंभीर उल्लंघनों के लिए एक वैधानिक अत्याचार की शुरुआत की, दंड में काफी वृद्धि की (अब प्रति उल्लंघन $ 50 मिलियन AUD तक), ऑस्ट्रेलियाई सूचना आयुक्त (OAIC) कार्यालय की प्रवर्तन शक्तियों का विस्तार किया, और डेटा प्रतिधारण, प्रत्यक्ष विपणन और एल्गोरिथम पारदर्शिता के लिए नए दायित्व जोड़े। ऑस्ट्रेलिया में कार्यरत किसी भी संगठन के लिए मौजूदा एपीपी ढांचे और नए सुधारों दोनों को समझना आवश्यक है।
मुख्य बातें
- गोपनीयता अधिनियम 3 मिलियन डॉलर से अधिक वार्षिक कारोबार (सुधारों के साथ कम सीमा) वाली ऑस्ट्रेलियाई सरकारी एजेंसियों और निजी क्षेत्र के संगठनों पर लागू होता है।
- तेरह ऑस्ट्रेलियाई गोपनीयता सिद्धांत (एपीपी) व्यक्तिगत जानकारी के संग्रह, उपयोग, प्रकटीकरण, गुणवत्ता, सुरक्षा, पहुंच और सुधार को नियंत्रित करते हैं
- अधिसूचित डेटा उल्लंघन (एनडीबी) योजना के लिए योग्यता उल्लंघन के 30 दिनों के भीतर OAIC और प्रभावित व्यक्तियों को अधिसूचना की आवश्यकता होती है
- 2024 के सुधार पेश किए गए: एक वैधानिक गोपनीयता अपकृत्य, उच्च दंड ($50M AUD), व्यक्तियों के लिए सीधी कार्रवाई के अधिकार, और नए बच्चों की गोपनीयता दायित्व
- संवेदनशील जानकारी (स्वास्थ्य, नस्लीय मूल, बायोमेट्रिक्स, धर्म, यौन अभिविन्यास, आदि) को संग्रह और उपयोग के लिए स्पष्ट सहमति की आवश्यकता होती है
- सीमा पार प्रकटीकरण प्रतिबंधों के लिए व्यक्तिगत जानकारी के विदेशी प्राप्तकर्ताओं के लिए जवाबदेही की आवश्यकता होती है
- OAIC ऑडिट कर सकता है, शिकायतें स्वीकार कर सकता है और गंभीर मामलों को संघीय न्यायालय में नागरिक दंड कार्यवाही के लिए संदर्भित कर सकता है
- सुधार बच्चों के लिए निर्देशित सेवाओं के लिए बच्चों की ऑनलाइन गोपनीयता संहिता पेश करेंगे
गोपनीयता अधिनियम का अनुपालन किसे करना चाहिए
कवरेज सीमाएँ
गोपनीयता अधिनियम इन पर लागू होता है:
ऑस्ट्रेलियाई सरकारी एजेंसियां: सभी राष्ट्रमंडल सरकारी विभाग और एजेंसियां, साथ ही कुछ संदर्भों में कुछ राज्य/क्षेत्रीय एजेंसियां।
एपीपी संस्थाएं (निजी क्षेत्र): किसी भी वित्तीय वर्ष में वार्षिक कारोबार $3 मिलियन से अधिक वाले संगठन। यह सीमा सुधार चर्चा का विषय रही है - अधिक व्यवसायों को कवर करने के लिए सीमा को कम करने या समाप्त करने के प्रस्ताव जारी हैं।
विशिष्ट गतिविधियों वाले छोटे व्यवसाय: टर्नओवर के बावजूद, गोपनीयता अधिनियम लागू होता है यदि संगठन:
- एक स्वास्थ्य सेवा प्रदाता है (निजी प्रैक्टिस सहित)
- व्यक्तिगत जानकारी का व्यापार करता है
- ऑस्ट्रेलियाई सरकार से अनुबंधित सेवा प्रदाता है
- गोपनीयता अधिनियम में शामिल हो गया है
- एक आवासीय किरायेदारी डेटाबेस संचालित करता है
- अधिनियम के अंतर्गत आने वाली इकाई से संबंधित है
बाह्यक्षेत्रीय दायरा: गोपनीयता अधिनियम ऑस्ट्रेलियाई संगठनों और उनकी विदेशी गतिविधियों पर लागू होता है। ऑस्ट्रेलियाई उपस्थिति के बिना अपतटीय संस्थाएं जो ऑस्ट्रेलियाई लिंक (उदाहरण के लिए, ऑस्ट्रेलियाई सर्वर, ऑस्ट्रेलियाई व्यापार संबंध) के माध्यम से ऑस्ट्रेलियाई लोगों की व्यक्तिगत जानकारी एकत्र करती हैं, वे भी अधिनियम के अधीन हो सकती हैं।
प्रमुख छूटें
- कर्मचारी रिकॉर्ड (निजी क्षेत्र के संगठनों के लिए उनके रोजगार संबंध के संबंध में)
- पत्रकारिता और मीडिया (पत्रकारिता गतिविधियों के संबंध में पंजीकृत समाचार संगठन)
- ऑस्ट्रेलियाई नागरिकों/निवासियों द्वारा ऑस्ट्रेलिया के बाहर किए गए कार्य (व्यापक छूट)
- टर्नओवर सीमा से नीचे के छोटे व्यवसाय (ऊपर बताए गए अपवादों को छोड़कर)
ऑस्ट्रेलियाई गोपनीयता सिद्धांत (एपीपी)
तेरह एपीपी गोपनीयता अनुपालन के लिए मूल ढांचा बनाते हैं:
एपीपी 1 - खुला और पारदर्शी प्रबंधन: स्पष्ट रूप से व्यक्त, अद्यतन गोपनीयता नीति रखें। इसे अनुरोध पर निःशुल्क उपलब्ध कराएं।
एपीपी 2 - गुमनामी और छद्म नाम: जहां वैध और व्यावहारिक हो, व्यक्तियों को गुमनाम रूप से या छद्म नाम का उपयोग करके आपके साथ बातचीत करने का विकल्प दें।
एपीपी 3 - मांगी गई व्यक्तिगत जानकारी का संग्रह: केवल वही व्यक्तिगत जानकारी एकत्र करें जो आपके कार्यों के लिए उचित रूप से आवश्यक है। संवेदनशील जानकारी केवल सहमति से (या विशिष्ट परिस्थितियों में) एकत्र करें। जहां उचित रूप से व्यवहार्य हो, सीधे व्यक्ति से एकत्र करें।
एपीपी 4 - अनचाही व्यक्तिगत जानकारी से निपटना: यदि आपको ऐसी व्यक्तिगत जानकारी प्राप्त होती है जिसकी आपने मांग नहीं की थी और एपीपी 3 के तहत इसे एकत्र करने की अनुमति नहीं दी गई होगी, तो इसे जितनी जल्दी हो सके नष्ट कर दें या इसकी पहचान न कर दें।
एपीपी 5 - संग्रह की अधिसूचना: संग्रह के समय या उससे पहले (या उसके बाद जितनी जल्दी संभव हो), व्यक्तियों को सूचित करने के लिए उचित कदम उठाएं: आप कौन हैं, आपसे कैसे संपर्क करें, क्या संग्रह कानून द्वारा आवश्यक है, संग्रह के उद्देश्य, जानकारी प्रदान न करने के परिणाम, जानकारी और कौन प्राप्त कर सकता है, और इसे कैसे एक्सेस/सही करना है।
एपीपी 6 - व्यक्तिगत जानकारी का उपयोग या प्रकटीकरण: केवल संग्रह के प्राथमिक उद्देश्य के लिए व्यक्तिगत जानकारी का उपयोग या खुलासा करें, एक संबंधित माध्यमिक उद्देश्य जिसकी व्यक्ति उचित रूप से अपेक्षा करेगा, सहमति से, या एक विशिष्ट एपीपी 6 अपवाद के तहत (कानून, कानून प्रवर्तन, स्वास्थ्य/सुरक्षा द्वारा आवश्यक)।
एपीपी 7 - प्रत्यक्ष विपणन: प्रत्यक्ष विपणन के लिए व्यक्तिगत जानकारी का उपयोग या खुलासा तब तक नहीं करना चाहिए जब तक कि शर्तें पूरी न हो जाएं (व्यक्ति द्वारा प्रदान की गई, संवेदनशील जानकारी के लिए सहमति, सदस्यता समाप्त करने की व्यवस्था प्रदान की गई)। व्यक्ति बाहर निकलने का अनुरोध कर सकते हैं।
एपीपी 8 - सीमा पार प्रकटीकरण: विदेशी प्राप्तकर्ताओं को व्यक्तिगत जानकारी का खुलासा करने से पहले, यह सुनिश्चित करने के लिए उचित कदम उठाएं कि प्राप्तकर्ता एपीपी का उल्लंघन नहीं करता है। आप विदेशी प्राप्तकर्ता के प्रबंधन के लिए जवाबदेह हैं। यदि व्यक्तिगत सहमति हो या प्राप्तकर्ता काफी हद तक समान कानूनों वाले देश में हो तो प्रकटीकरण की अनुमति है।
एपीपी 9 - सरकार से संबंधित पहचानकर्ताओं को अपनाना, उपयोग करना या प्रकटीकरण: निजी क्षेत्र के उद्देश्यों के लिए सरकारी पहचानकर्ताओं (जैसे, मेडिकेयर नंबर, सेंटरलिंक संदर्भ) के उपयोग पर प्रतिबंध।
एपीपी 10 - व्यक्तिगत जानकारी की गुणवत्ता: यह सुनिश्चित करने के लिए उचित कदम उठाएं कि व्यक्तिगत जानकारी संग्रह, उपयोग या प्रकटीकरण से पहले सटीक, अद्यतन और पूर्ण हो।
एपीपी 11 - व्यक्तिगत जानकारी की सुरक्षा: व्यक्तिगत जानकारी को दुरुपयोग, हस्तक्षेप, हानि और अनधिकृत पहुंच, संशोधन या प्रकटीकरण से बचाने के लिए उचित कदम उठाएं। जब आवश्यकता न हो तो व्यक्तिगत जानकारी को नष्ट कर दें या उसकी पहचान मिटा दें।
एपीपी 12 - व्यक्तिगत जानकारी तक पहुंच: जहां उचित हो, अनुरोधित प्रारूप में 30 दिनों के भीतर व्यक्तियों को उनकी व्यक्तिगत जानकारी तक पहुंच प्रदान करें। अपवादों में शामिल हैं: जहां पहुंच गंभीर खतरा पैदा करेगी, दूसरों की गोपनीयता पर अनुचित प्रभाव डालेगी, वहां पहुंच गैरकानूनी होगी।
एपीपी 13 - व्यक्तिगत जानकारी में सुधार: अनुरोध पर (या अपनी पहल पर), गलत, अधूरी, पुरानी, अप्रासंगिक या भ्रामक व्यक्तिगत जानकारी को सही करें। यदि आप सुधार करने से इनकार करते हैं, तो व्यक्ति को सूचित करें और उन्हें अपने रिकॉर्ड के साथ सुधार विवरण जोड़ने की अनुमति दें।
संवेदनशील जानकारी
गोपनीयता अधिनियम संवेदनशील जानकारी को व्यक्तिगत जानकारी के एक उपसमूह के रूप में परिभाषित करता है जिसके लिए उच्च मानक की सुरक्षा की आवश्यकता होती है। संवेदनशील जानकारी में शामिल हैं:
- स्वास्थ्य संबंधी जानकारी
- आनुवंशिक जानकारी
- पहचान उद्देश्यों के लिए बायोमेट्रिक जानकारी
- नस्लीय या जातीय मूल
- राजनीतिक राय
- धार्मिक या दार्शनिक मान्यताएँ
- यौन रुझान या व्यवहार
- ट्रेड यूनियन सदस्यता
- आपराधिक रिकॉर्ड की जानकारी
- सरकार द्वारा जारी पहचान विवरण
एपीपी 3.3: संगठन केवल संवेदनशील जानकारी एकत्र कर सकते हैं यदि:
- व्यक्ति ने सहमति दी है, और संगठन के कार्यों के लिए संग्रह उचित रूप से आवश्यक है; या
- आठ विशिष्ट अपवादों में से एक लागू होता है (कानून द्वारा आवश्यक, गंभीर खतरे को रोकना, आदि)
स्वास्थ्य जानकारी: अतिरिक्त सुरक्षा प्राप्त होती है - टर्नओवर की परवाह किए बिना स्वास्थ्य सेवा प्रदाताओं को कवर किया जाता है, और OAIC द्वारा जारी विशिष्ट स्वास्थ्य गोपनीयता दिशानिर्देश लागू होते हैं।
अधिसूचित डेटा उल्लंघन (एनडीबी) योजना
एनडीबी योजना (गोपनीयता अधिनियम का भाग IIIC) के लिए एपीपी संस्थाओं को पात्र डेटा उल्लंघनों के बारे में OAIC और प्रभावित व्यक्तियों को सूचित करने की आवश्यकता होती है।
योग्य डेटा उल्लंघन क्या है?
एक योग्य डेटा उल्लंघन तब होता है जब:
- किसी इकाई द्वारा रखी गई व्यक्तिगत जानकारी की अनधिकृत पहुंच, प्रकटीकरण, या हानि है; और
- एक उचित व्यक्ति यह निष्कर्ष निकालेगा कि पहुंच/प्रकटीकरण/हानि के परिणामस्वरूप उन व्यक्तियों में से किसी को गंभीर नुकसान होने की संभावना है** जिनसे जानकारी संबंधित है
गंभीर नुकसान का आकलन: जानकारी के प्रकार, संवेदनशीलता, क्या सुरक्षा तकनीक लागू की गई, किसने इसे एक्सेस किया/प्राप्त किया, और संभावित नुकसान (वित्तीय, शारीरिक, मनोवैज्ञानिक, प्रतिष्ठित) पर विचार करें।
अधिसूचना समयरेखा
| कदम | आवश्यकता | समयरेखा |
|---|---|---|
| संभावित उल्लंघन से अवगत रहें | आचरण मूल्यांकन | यथाशीघ्र यथोचित व्यावहारिक |
| सम्पूर्ण मूल्यांकन | निर्धारित करें कि क्या उल्लंघन योग्य है | जागरूक होने के 30 दिन से अधिक बाद नहीं |
| OAIC को सूचित करें | OAIC पोर्टल के माध्यम से NDB रिपोर्ट सबमिट करें | उचित विश्वास बनाने के बाद जितनी जल्दी संभव हो |
| प्रभावित व्यक्तियों को सूचित करें | प्रत्यक्ष अधिसूचना (या अव्यावहारिक होने पर सार्वजनिक अधिसूचना) | उसी समय OAIC अधिसूचना |
आपातकालीन डेटा उल्लंघन - जहां गंभीर नुकसान होने की संभावना है और संस्थाओं को इसके बारे में तुरंत पता है - 30 दिनों की प्रतीक्षा किए बिना, जितनी जल्दी हो सके OAIC और व्यक्तियों को सूचित किया जाना चाहिए।
OAIC अधिसूचना सामग्री:
- इकाई का नाम और संपर्क विवरण
- उल्लंघन का विवरण
- प्रभावित व्यक्तियों की श्रेणियां और अनुमानित संख्या
- शामिल जानकारी (अभिलेखों का प्रकार और अनुमानित संख्या)
- प्रतिक्रिया में उठाए गए कदम या योजना बनाई गई
2024 गोपनीयता अधिनियम सुधार
गोपनीयता और अन्य विधान संशोधन अधिनियम 2024 (नवंबर 2024 में अधिनियमित) ने महत्वपूर्ण परिवर्तन पेश किए। प्रमुख सुधारों में शामिल हैं:
गोपनीयता आक्रमण के लिए वैधानिक अत्याचार
एक नया कार्रवाई का वैधानिक कारण व्यक्तियों को OAIC की भागीदारी की आवश्यकता के बिना, संघीय न्यायालय में गोपनीयता के गंभीर उल्लंघन के लिए संगठनों पर सीधे मुकदमा करने की अनुमति देता है। उपचारों में क्षति (गंभीर और अनुकरणीय क्षति सहित), निषेधाज्ञा और लाभ का हिसाब शामिल है। कार्रवाई का यह निजी अधिकार व्यवसायों के लिए मुकदमेबाजी जोखिम को काफी बढ़ा देता है।
दो प्रकार के आक्रमण: (1) एकांत पर घुसपैठ - निजी मामलों में भौतिक या इलेक्ट्रॉनिक घुसपैठ; (2) निजी जानकारी का दुरुपयोग - निजी जानकारी एकत्र करना, उपयोग करना या प्रकट करना।
किसी आक्रमण पर तभी कार्रवाई की जा सकती है जब एक उचित व्यक्ति इसे अत्यधिक आक्रामक मानेगा, और वादी को परिस्थितियों में गोपनीयता की उचित अपेक्षा थी।
उच्च दंड
गंभीर या बार-बार गोपनीयता में हस्तक्षेप के लिए अधिकतम नागरिक जुर्माना बढ़ाकर $50 मिलियन AUD प्रति उल्लंघन ($2.22 मिलियन से अधिक) कर दिया गया है। अदालतें उल्लंघन से प्राप्त लाभ का तीन गुना, या उल्लंघन अवधि के दौरान ऑस्ट्रेलियाई टर्नओवर का 30% - जो भी उच्चतम हो, के आधार पर दंड का आदेश दे सकती हैं। ये ऑस्ट्रेलिया के प्रतिस्पर्धा कानून में उच्चतम स्तरीय दंडों से मेल खाते हैं।
विस्तारित OAIC शक्तियां
OAIC के पास अब है:
- बिना किसी शिकायत के स्वप्रेरणा से जांच करने की शक्ति
- कम गंभीर उल्लंघनों के लिए उल्लंघन नोटिस शक्तियां
- प्रारंभिक खोज और अंतरिम निषेधाज्ञा मांगने की शक्तियां
- विदेशी गोपनीयता अधिकारियों के साथ जानकारी साझा करने की क्षमता
बच्चों का ऑनलाइन गोपनीयता कोड
2024 अधिनियम बच्चों के ऑनलाइन गोपनीयता कोड के लिए एक रूपरेखा बनाता है - बच्चों के लिए निर्देशित ऑनलाइन सेवाओं के लिए अनिवार्य आवश्यकताएं (18 वर्ष से कम उम्र के लोग जो सेवा के लिए प्रासंगिक आयु में हैं)। यह कोड डेटा न्यूनतमकरण, माता-पिता के लिए पारदर्शिता और बच्चे-उपयुक्त डिज़ाइन पर विशिष्ट दायित्व लगाएगा। विकास जारी है; संगठनों को OAIC विकास की निगरानी करनी चाहिए।
प्रत्यक्ष विपणन सुधार
प्रत्यक्ष विपणन पर बढ़े हुए प्रतिबंध: व्यक्ति अपनी व्यक्तिगत जानकारी के आधार पर लक्षित विज्ञापन से बाहर निकल सकते हैं, जिसमें लक्षित विज्ञापन उद्देश्यों के लिए प्रोफाइलिंग भी शामिल है।
स्वचालित निर्णय लेने की पारदर्शिता
व्यक्तिगत जानकारी का उपयोग करके महत्वपूर्ण स्वचालित निर्णयों के बारे में पारदर्शिता के लिए नई आवश्यकताएँ - संगठनों को व्यक्तियों पर महत्वपूर्ण प्रभाव वाले स्वचालित निर्णयों के तर्क को समझाने में सक्षम होना चाहिए।
सीमा पार प्रकटीकरण (एपीपी 8)
एपीपी 8 सबसे गलत समझे जाने वाले एपीपी में से एक है। जब आप विदेशी प्राप्तकर्ताओं को व्यक्तिगत जानकारी का खुलासा करते हैं:
डिफ़ॉल्ट नियम: आपको यह सुनिश्चित करने के लिए उचित कदम उठाने होंगे कि विदेशी प्राप्तकर्ता उस जानकारी के संबंध में एपीपी का उल्लंघन न करे। आप विदेशी प्राप्तकर्ता के प्रबंधन के लिए जवाबदेह बने रहेंगे।
सहमति अपवाद: यदि आपने व्यक्ति को स्पष्ट रूप से सूचित किया है कि आप उनकी जानकारी विदेशी प्राप्तकर्ताओं के साथ साझा कर सकते हैं और आप विदेशी प्राप्तकर्ता के संचालन - और व्यक्तिगत सहमति के लिए जवाबदेह नहीं हो सकते हैं, तो आप जवाबदेह बने बिना सीमाओं के पार खुलासा कर सकते हैं।
पर्याप्तता अपवाद: यदि OAIC ने निर्धारित किया है कि विदेशी देश में काफी हद तक समान गोपनीयता सुरक्षा है तो प्रकटीकरण की अनुमति है।
क्लाउड और SaaS के लिए व्यावहारिक निहितार्थ:
- यदि आपका क्लाउड प्रदाता ऑस्ट्रेलिया के बाहर डेटा संग्रहीत करता है, तो एपीपी 8 लागू होता है
- आप केवल क्लाउड प्रदाता की शर्तों की ओर संकेत नहीं कर सकते - आपको उचित कदम उठाने होंगे (संविदात्मक सुरक्षा, सुरक्षा मूल्यांकन)
- यदि डेटा कई अंतरराष्ट्रीय क्षेत्रों में संग्रहीत किया जाता है, तो प्रत्येक स्थान एक संभावित प्रकटीकरण है
OAIC प्रवर्तन और शिकायत प्रक्रिया
शिकायत मार्ग:
- व्यक्ति संगठन से शिकायत करता है (संगठन के पास जवाब देने के लिए 30 दिन का समय होता है)
- यदि अनसुलझा या संस्था जवाब देने में विफल रहती है, तो व्यक्ति OAIC से शिकायत कर सकता है
- OAIC शिकायत का समाधान करता है; यदि समाधान नहीं हुआ तो OAIC जांच कर सकता है
- OAIC मुआवजे का आदेश देने सहित निर्णय ले सकता है
सिविल दंड कार्यवाही:
- OAIC गंभीर मामलों को संघीय न्यायालय को संदर्भित करता है
- न्यायालय नागरिक दंड ($50 मिलियन तक) लगा सकता है
- OAIC प्रवर्तनीय उपक्रमों को भी स्वीकार कर सकता है
नियामक जांच:
- OAIC स्वयं-गति से जांच शुरू कर सकता है
- संस्थाओं से जानकारी प्रदान करने, साक्षात्कार में भाग लेने, दस्तावेज़ प्रस्तुत करने की अपेक्षा की जा सकती है
- ऑडिट कर सकते हैं (योजनाबद्ध या अघोषित)
उल्लेखनीय प्रवर्तन कार्रवाइयां: OAIC ने उबर टेक्नोलॉजीज (एनडीबी योजना का उल्लंघन), आरआई एडवाइस ग्रुप (अपर्याप्त सुरक्षा), और ऑस्ट्रेलियाई चुनाव आयोग (एपीपी 11 सुरक्षा विफलता) सहित प्रमुख मामलों को आगे बढ़ाया है। ऑप्टस डेटा उल्लंघन (2022, 9.8 मिलियन ऑस्ट्रेलियाई प्रभावित) और मेडिबैंक उल्लंघन (2022, 9.7 मिलियन ग्राहक) ने महत्वपूर्ण नियामक और विधायी ध्यान आकर्षित किया।
ऑस्ट्रेलिया गोपनीयता अनुपालन चेकलिस्ट
- गोपनीयता अधिनियम प्रयोज्यता की पुष्टि की गई (कारोबार सीमा, विशिष्ट गतिविधियां)
- गोपनीयता नीति प्रकाशित, अद्यतन और सभी एपीपी को कवर करती है
- एपीपी 5 अधिसूचना संग्रह के बिंदु पर प्रदान की गई (सभी डेटा कैप्चर फॉर्म पर संग्रह नोटिस)
- संवेदनशील जानकारी की पहचान की गई - संग्रह के लिए सहमति प्राप्त की गई
- डेटा न्यूनीकरण की समीक्षा की गई - केवल उचित रूप से आवश्यक जानकारी एकत्र करना
- एपीपी 6 माध्यमिक उपयोग/प्रकटीकरण मूल्यांकन प्रलेखित
- प्रत्यक्ष विपणन ऑप्ट-आउट तंत्र लागू किया गया (एपीपी 7)
- विदेशी प्रकटीकरण मूल्यांकन पूरा हुआ - प्राप्तकर्ता एपीपी अनुपालन सुनिश्चित करने के लिए उचित कदम (एपीपी 8)
- डेटा सुरक्षा उपाय लागू और प्रलेखित (एपीपी 11)
- डेटा प्रतिधारण और विनाश/पहचान मिटाने की नीति लागू की गई (एपीपी 11.2)
- व्यक्तिगत पहुँच और सुधार प्रक्रियाएँ प्रलेखित (एपीपी 12, 13)
- एनडीबी प्रतिक्रिया प्रक्रिया का दस्तावेजीकरण और परीक्षण किया गया (30-दिवसीय मूल्यांकन समयरेखा)
- OAIC उल्लंघन अधिसूचना टेम्पलेट तैयार किया गया
- बच्चों की डेटा प्रथाओं की समीक्षा की गई - बच्चों की ऑनलाइन गोपनीयता संहिता के लिए तैयारी करें
- स्वचालित निर्णय लेने की पारदर्शिता समीक्षा आयोजित की गई
- एपीपी और एनडीबी योजना पर कर्मचारियों का प्रशिक्षण पूरा हो गया
अक्सर पूछे जाने वाले प्रश्न
क्या गोपनीयता अधिनियम मेरे छोटे व्यवसाय पर लागू होता है?
आम तौर पर, गोपनीयता अधिनियम केवल निजी क्षेत्र के संगठनों पर लागू होता है जिनका वार्षिक कारोबार $3 मिलियन से अधिक होता है। हालाँकि, यदि आप एक स्वास्थ्य सेवा प्रदाता हैं, व्यक्तिगत जानकारी का व्यापार करते हैं, एक सरकारी ठेकेदार हैं, एक आवासीय किरायेदारी डेटाबेस संचालित करते हैं, या एक कवर इकाई से संबंधित हैं, तो टर्नओवर की परवाह किए बिना आपको कवर किया जा सकता है। इसके अतिरिक्त, राज्य/क्षेत्र गोपनीयता कानून आपकी व्यावसायिक गतिविधियों पर लागू हो सकते हैं - विशेष रूप से विशिष्ट क्षेत्रों के लिए क्वींसलैंड, एनएसडब्ल्यू और विक्टोरिया में।
ऑस्ट्रेलियाई कानून के तहत "संवेदनशील जानकारी" के रूप में क्या गिना जाता है?
संवेदनशील जानकारी एक परिभाषित श्रेणी है जिसमें स्वास्थ्य जानकारी, आनुवंशिक जानकारी, बायोमेट्रिक जानकारी (विशिष्ट पहचान के लिए), नस्लीय या जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक विश्वास, यौन अभिविन्यास या प्रथाएं, ट्रेड यूनियन सदस्यता और आपराधिक रिकॉर्ड जानकारी शामिल है। संवेदनशील जानकारी के संग्रहण के लिए सहमति की आवश्यकता होती है और यह आपके कार्यों के लिए उचित रूप से आवश्यक होनी चाहिए। स्वास्थ्य संबंधी जानकारी OAIC से सबसे व्यापक सुरक्षा और अतिरिक्त मार्गदर्शन प्राप्त करती है।
एनडीबी योजना के तहत 30-दिवसीय मूल्यांकन अवधि क्या है?
जब किसी संगठन को पता चलता है कि डेटा उल्लंघन हुआ है, तो उसके पास मूल्यांकन करने और यह निर्धारित करने के लिए 30 दिन का समय होता है कि क्या यह एक योग्य डेटा उल्लंघन है (जिसके परिणामस्वरूप गंभीर नुकसान होने की संभावना है)। इस 30-दिन की अवधि के दौरान, संगठनों को जांच करनी चाहिए कि क्या हुआ, कौन सी जानकारी शामिल थी, कौन प्रभावित हुआ और क्या गंभीर नुकसान की संभावना है। यदि किसी योग्य उल्लंघन की पहचान की जाती है, तो OAIC और प्रभावित व्यक्तियों को यथाशीघ्र सूचित किया जाना चाहिए - पात्र उल्लंघन का निर्धारण होने के बाद कोई अतिरिक्त प्रतीक्षा अवधि नहीं है।
ऑस्ट्रेलिया में AWS या Azure का उपयोग करते समय APP 8 कैसे लागू होता है?
यदि आप पूरी तरह से ऑस्ट्रेलियाई डेटा केंद्रों (एडब्ल्यूएस एपी-साउथईस्ट-2 सिडनी, एज़्योर ऑस्ट्रेलिया ईस्ट) के भीतर तैनात एडब्ल्यूएस या एज़्योर सेवाओं का उपयोग करते हैं, तो आपके पास विदेशी प्रकटीकरण समस्या नहीं हो सकती है - डेटा ऑस्ट्रेलिया में रहता है। यदि आप वैश्विक बुनियादी ढांचे (सामग्री वितरण नेटवर्क, वैश्विक प्रतिकृति, विदेशों से समर्थन पहुंच) वाली सेवाओं का उपयोग करते हैं, तो आप विदेशों में डेटा का खुलासा कर सकते हैं। अपने क्लाउड प्रदाता के डेटा प्रोसेसिंग दस्तावेज़ की सावधानीपूर्वक समीक्षा करें। कई प्रदाता विदेशी उप-प्रसंस्करण के लिए संविदात्मक सुरक्षा के माध्यम से एपीपी 8 आवश्यकताओं को कवर करने वाले ऑस्ट्रेलियाई डेटा रेजिडेंसी गारंटी और डेटा प्रोसेसिंग समझौते की पेशकश करते हैं।
गोपनीयता के लिए नया वैधानिक अपकृत्य क्या है और यह व्यवसायों को कैसे प्रभावित करता है?
वैधानिक अपकृत्य (2024 गोपनीयता अधिनियम सुधारों द्वारा प्रस्तुत) व्यक्तियों के लिए OAIC से गुजरे बिना गंभीर गोपनीयता उल्लंघन के लिए संघीय न्यायालय में संगठनों पर मुकदमा करने का सीधा अधिकार बनाता है। दो श्रेणियां हैं: एकांत में घुसपैठ और निजी जानकारी का दुरुपयोग। अपकृत्य वहां लागू होता है जहां एक उचित व्यक्ति आक्रमण को अत्यधिक आक्रामक मानता है और व्यक्ति को गोपनीयता की उचित अपेक्षा होती है। संभावित उपायों में प्रतिपूरक क्षति, गंभीर क्षति, अनुकरणीय क्षति, निषेधाज्ञा और लाभ का हिसाब शामिल है। इससे व्यक्तिगत जानकारी संभालने वाले व्यवसायों के लिए मुकदमेबाजी का जोखिम काफी बढ़ जाता है - गंभीर डेटा उल्लंघनों के लिए वर्ग कार्रवाई अब एक यथार्थवादी संभावना है।
अगले कदम
ऑस्ट्रेलिया के गोपनीयता अधिनियम सुधार मजबूत प्रवर्तन, उच्च दंड और अधिक व्यक्तिगत अधिकारों की ओर बदलाव का संकेत देते हैं - जो वैश्विक मानकों के साथ अधिक निकटता से मेल खाते हैं। चाहे आप पहली बार अनुपालन का आकलन कर रहे हों या 2024 के सुधारों को ध्यान में रखते हुए अपने कार्यक्रम को अपडेट कर रहे हों, ECOSIRE की टीम आपके व्यवसाय के लिए उपयुक्त गोपनीयता-दर-डिज़ाइन सिस्टम और अनुपालन प्रक्रियाओं को डिज़ाइन करने में मदद कर सकती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। ऑस्ट्रेलियाई गोपनीयता कानून निरंतर सुधार के अधीन है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य ऑस्ट्रेलियाई कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
Odoo Australia Localization 2026: GST, BAS, ATO STP & ABN Setup
Configure Odoo for Australia compliance: l10n_au chart, GST 10%, BAS labels G1-G24, ATO Single Touch Payroll Phase 2, ABN, super 12%.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
Compliance & Regulation से और अधिक
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.
ई-कॉमर्स के लिए साइबर सुरक्षा: 2026 में अपने व्यवसाय को सुरक्षित रखें
2026 के लिए पूर्ण ईकॉमर्स साइबर सुरक्षा गाइड। पीसीआई डीएसएस 4.0, डब्ल्यूएएफ सेटअप, बॉट सुरक्षा, भुगतान धोखाधड़ी की रोकथाम, सुरक्षा हेडर और घटना प्रतिक्रिया।
रासायनिक उद्योग के लिए ईआरपी: सुरक्षा, अनुपालन और बैच प्रोसेसिंग
ईआरपी सिस्टम रासायनिक कंपनियों के लिए एसडीएस दस्तावेज़, पहुंच और जीएचएस अनुपालन, बैच प्रोसेसिंग, गुणवत्ता नियंत्रण, खतरनाक शिपिंग और फॉर्मूला प्रबंधन कैसे प्रबंधित करते हैं।
आयात/निर्यात व्यापार के लिए ईआरपी: बहु-मुद्रा, रसद और अनुपालन
ईआरपी सिस्टम ट्रेडिंग कंपनियों के लिए क्रेडिट पत्र, सीमा शुल्क दस्तावेज़ीकरण, इनकोटर्म्स, बहु-मुद्रा पी एंड एल, कंटेनर ट्रैकिंग और शुल्क गणना को कैसे संभालते हैं।
ईआरपी के साथ स्थिरता और ईएसजी रिपोर्टिंग: अनुपालन गाइड 2026
ईआरपी सिस्टम के साथ 2026 में ईएसजी रिपोर्टिंग अनुपालन पर नेविगेट करें। सीएसआरडी, जीआरआई, एसएएसबी, स्कोप 1/2/3 उत्सर्जन, कार्बन ट्रैकिंग और ओडू स्थिरता को कवर करता है।
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.