हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंऑस्ट्रेलिया गोपनीयता अधिनियम: व्यवसाय अनुपालन और डेटा हैंडलिंग
ऑस्ट्रेलिया का गोपनीयता अधिनियम 1988 (सीटीएच) ऑस्ट्रेलियाई लोगों की व्यक्तिगत जानकारी की रक्षा करने वाला प्राथमिक संघीय गोपनीयता कानून है। गोपनीयता विधान संशोधन (ऑनलाइन गोपनीयता और अन्य उपायों को बढ़ाना) अधिनियम 2021 और गोपनीयता और अन्य विधान संशोधन अधिनियम 2024 के माध्यम से महत्वपूर्ण रूप से मजबूत किया गया, ऑस्ट्रेलिया का गोपनीयता ढांचा 2014 में ऑस्ट्रेलियाई गोपनीयता सिद्धांतों (एपीपी) की शुरूआत के बाद से अपने सबसे महत्वपूर्ण सुधार के दौर से गुजर रहा है।
2024 के सुधारों ने गोपनीयता के गंभीर उल्लंघनों के लिए एक वैधानिक अत्याचार की शुरुआत की, दंड में काफी वृद्धि की (अब प्रति उल्लंघन $ 50 मिलियन AUD तक), ऑस्ट्रेलियाई सूचना आयुक्त (OAIC) कार्यालय की प्रवर्तन शक्तियों का विस्तार किया, और डेटा प्रतिधारण, प्रत्यक्ष विपणन और एल्गोरिथम पारदर्शिता के लिए नए दायित्व जोड़े। ऑस्ट्रेलिया में कार्यरत किसी भी संगठन के लिए मौजूदा एपीपी ढांचे और नए सुधारों दोनों को समझना आवश्यक है।
मुख्य बातें
- गोपनीयता अधिनियम 3 मिलियन डॉलर से अधिक वार्षिक कारोबार (सुधारों के साथ कम सीमा) वाली ऑस्ट्रेलियाई सरकारी एजेंसियों और निजी क्षेत्र के संगठनों पर लागू होता है।
- तेरह ऑस्ट्रेलियाई गोपनीयता सिद्धांत (एपीपी) व्यक्तिगत जानकारी के संग्रह, उपयोग, प्रकटीकरण, गुणवत्ता, सुरक्षा, पहुंच और सुधार को नियंत्रित करते हैं
- अधिसूचित डेटा उल्लंघन (एनडीबी) योजना के लिए योग्यता उल्लंघन के 30 दिनों के भीतर OAIC और प्रभावित व्यक्तियों को अधिसूचना की आवश्यकता होती है
- 2024 के सुधार पेश किए गए: एक वैधानिक गोपनीयता अपकृत्य, उच्च दंड ($50M AUD), व्यक्तियों के लिए सीधी कार्रवाई के अधिकार, और नए बच्चों की गोपनीयता दायित्व
- संवेदनशील जानकारी (स्वास्थ्य, नस्लीय मूल, बायोमेट्रिक्स, धर्म, यौन अभिविन्यास, आदि) को संग्रह और उपयोग के लिए स्पष्ट सहमति की आवश्यकता होती है
- सीमा पार प्रकटीकरण प्रतिबंधों के लिए व्यक्तिगत जानकारी के विदेशी प्राप्तकर्ताओं के लिए जवाबदेही की आवश्यकता होती है
- OAIC ऑडिट कर सकता है, शिकायतें स्वीकार कर सकता है और गंभीर मामलों को संघीय न्यायालय में नागरिक दंड कार्यवाही के लिए संदर्भित कर सकता है
- सुधार बच्चों के लिए निर्देशित सेवाओं के लिए बच्चों की ऑनलाइन गोपनीयता संहिता पेश करेंगे
गोपनीयता अधिनियम का अनुपालन किसे करना चाहिए
कवरेज सीमाएँ
गोपनीयता अधिनियम इन पर लागू होता है:
ऑस्ट्रेलियाई सरकारी एजेंसियां: सभी राष्ट्रमंडल सरकारी विभाग और एजेंसियां, साथ ही कुछ संदर्भों में कुछ राज्य/क्षेत्रीय एजेंसियां।
एपीपी संस्थाएं (निजी क्षेत्र): किसी भी वित्तीय वर्ष में वार्षिक कारोबार $3 मिलियन से अधिक वाले संगठन। यह सीमा सुधार चर्चा का विषय रही है - अधिक व्यवसायों को कवर करने के लिए सीमा को कम करने या समाप्त करने के प्रस्ताव जारी हैं।
विशिष्ट गतिविधियों वाले छोटे व्यवसाय: टर्नओवर के बावजूद, गोपनीयता अधिनियम लागू होता है यदि संगठन:
- एक स्वास्थ्य सेवा प्रदाता है (निजी प्रैक्टिस सहित)
- व्यक्तिगत जानकारी का व्यापार करता है
- ऑस्ट्रेलियाई सरकार से अनुबंधित सेवा प्रदाता है
- गोपनीयता अधिनियम में शामिल हो गया है
- एक आवासीय किरायेदारी डेटाबेस संचालित करता है
- अधिनियम के अंतर्गत आने वाली इकाई से संबंधित है
बाह्यक्षेत्रीय दायरा: गोपनीयता अधिनियम ऑस्ट्रेलियाई संगठनों और उनकी विदेशी गतिविधियों पर लागू होता है। ऑस्ट्रेलियाई उपस्थिति के बिना अपतटीय संस्थाएं जो ऑस्ट्रेलियाई लिंक (उदाहरण के लिए, ऑस्ट्रेलियाई सर्वर, ऑस्ट्रेलियाई व्यापार संबंध) के माध्यम से ऑस्ट्रेलियाई लोगों की व्यक्तिगत जानकारी एकत्र करती हैं, वे भी अधिनियम के अधीन हो सकती हैं।
प्रमुख छूटें
- कर्मचारी रिकॉर्ड (निजी क्षेत्र के संगठनों के लिए उनके रोजगार संबंध के संबंध में)
- पत्रकारिता और मीडिया (पत्रकारिता गतिविधियों के संबंध में पंजीकृत समाचार संगठन)
- ऑस्ट्रेलियाई नागरिकों/निवासियों द्वारा ऑस्ट्रेलिया के बाहर किए गए कार्य (व्यापक छूट)
- टर्नओवर सीमा से नीचे के छोटे व्यवसाय (ऊपर बताए गए अपवादों को छोड़कर)
ऑस्ट्रेलियाई गोपनीयता सिद्धांत (एपीपी)
तेरह एपीपी गोपनीयता अनुपालन के लिए मूल ढांचा बनाते हैं:
एपीपी 1 - खुला और पारदर्शी प्रबंधन: स्पष्ट रूप से व्यक्त, अद्यतन गोपनीयता नीति रखें। इसे अनुरोध पर निःशुल्क उपलब्ध कराएं।
एपीपी 2 - गुमनामी और छद्म नाम: जहां वैध और व्यावहारिक हो, व्यक्तियों को गुमनाम रूप से या छद्म नाम का उपयोग करके आपके साथ बातचीत करने का विकल्प दें।
एपीपी 3 - मांगी गई व्यक्तिगत जानकारी का संग्रह: केवल वही व्यक्तिगत जानकारी एकत्र करें जो आपके कार्यों के लिए उचित रूप से आवश्यक है। संवेदनशील जानकारी केवल सहमति से (या विशिष्ट परिस्थितियों में) एकत्र करें। जहां उचित रूप से व्यवहार्य हो, सीधे व्यक्ति से एकत्र करें।
एपीपी 4 - अनचाही व्यक्तिगत जानकारी से निपटना: यदि आपको ऐसी व्यक्तिगत जानकारी प्राप्त होती है जिसकी आपने मांग नहीं की थी और एपीपी 3 के तहत इसे एकत्र करने की अनुमति नहीं दी गई होगी, तो इसे जितनी जल्दी हो सके नष्ट कर दें या इसकी पहचान न कर दें।
एपीपी 5 - संग्रह की अधिसूचना: संग्रह के समय या उससे पहले (या उसके बाद जितनी जल्दी संभव हो), व्यक्तियों को सूचित करने के लिए उचित कदम उठाएं: आप कौन हैं, आपसे कैसे संपर्क करें, क्या संग्रह कानून द्वारा आवश्यक है, संग्रह के उद्देश्य, जानकारी प्रदान न करने के परिणाम, जानकारी और कौन प्राप्त कर सकता है, और इसे कैसे एक्सेस/सही करना है।
एपीपी 6 - व्यक्तिगत जानकारी का उपयोग या प्रकटीकरण: केवल संग्रह के प्राथमिक उद्देश्य के लिए व्यक्तिगत जानकारी का उपयोग या खुलासा करें, एक संबंधित माध्यमिक उद्देश्य जिसकी व्यक्ति उचित रूप से अपेक्षा करेगा, सहमति से, या एक विशिष्ट एपीपी 6 अपवाद के तहत (कानून, कानून प्रवर्तन, स्वास्थ्य/सुरक्षा द्वारा आवश्यक)।
एपीपी 7 - प्रत्यक्ष विपणन: प्रत्यक्ष विपणन के लिए व्यक्तिगत जानकारी का उपयोग या खुलासा तब तक नहीं करना चाहिए जब तक कि शर्तें पूरी न हो जाएं (व्यक्ति द्वारा प्रदान की गई, संवेदनशील जानकारी के लिए सहमति, सदस्यता समाप्त करने की व्यवस्था प्रदान की गई)। व्यक्ति बाहर निकलने का अनुरोध कर सकते हैं।
एपीपी 8 - सीमा पार प्रकटीकरण: विदेशी प्राप्तकर्ताओं को व्यक्तिगत जानकारी का खुलासा करने से पहले, यह सुनिश्चित करने के लिए उचित कदम उठाएं कि प्राप्तकर्ता एपीपी का उल्लंघन नहीं करता है। आप विदेशी प्राप्तकर्ता के प्रबंधन के लिए जवाबदेह हैं। यदि व्यक्तिगत सहमति हो या प्राप्तकर्ता काफी हद तक समान कानूनों वाले देश में हो तो प्रकटीकरण की अनुमति है।
एपीपी 9 - सरकार से संबंधित पहचानकर्ताओं को अपनाना, उपयोग करना या प्रकटीकरण: निजी क्षेत्र के उद्देश्यों के लिए सरकारी पहचानकर्ताओं (जैसे, मेडिकेयर नंबर, सेंटरलिंक संदर्भ) के उपयोग पर प्रतिबंध।
एपीपी 10 - व्यक्तिगत जानकारी की गुणवत्ता: यह सुनिश्चित करने के लिए उचित कदम उठाएं कि व्यक्तिगत जानकारी संग्रह, उपयोग या प्रकटीकरण से पहले सटीक, अद्यतन और पूर्ण हो।
एपीपी 11 - व्यक्तिगत जानकारी की सुरक्षा: व्यक्तिगत जानकारी को दुरुपयोग, हस्तक्षेप, हानि और अनधिकृत पहुंच, संशोधन या प्रकटीकरण से बचाने के लिए उचित कदम उठाएं। जब आवश्यकता न हो तो व्यक्तिगत जानकारी को नष्ट कर दें या उसकी पहचान मिटा दें।
एपीपी 12 - व्यक्तिगत जानकारी तक पहुंच: जहां उचित हो, अनुरोधित प्रारूप में 30 दिनों के भीतर व्यक्तियों को उनकी व्यक्तिगत जानकारी तक पहुंच प्रदान करें। अपवादों में शामिल हैं: जहां पहुंच गंभीर खतरा पैदा करेगी, दूसरों की गोपनीयता पर अनुचित प्रभाव डालेगी, वहां पहुंच गैरकानूनी होगी।
एपीपी 13 - व्यक्तिगत जानकारी में सुधार: अनुरोध पर (या अपनी पहल पर), गलत, अधूरी, पुरानी, अप्रासंगिक या भ्रामक व्यक्तिगत जानकारी को सही करें। यदि आप सुधार करने से इनकार करते हैं, तो व्यक्ति को सूचित करें और उन्हें अपने रिकॉर्ड के साथ सुधार विवरण जोड़ने की अनुमति दें।
संवेदनशील जानकारी
गोपनीयता अधिनियम संवेदनशील जानकारी को व्यक्तिगत जानकारी के एक उपसमूह के रूप में परिभाषित करता है जिसके लिए उच्च मानक की सुरक्षा की आवश्यकता होती है। संवेदनशील जानकारी में शामिल हैं:
- स्वास्थ्य संबंधी जानकारी
- आनुवंशिक जानकारी
- पहचान उद्देश्यों के लिए बायोमेट्रिक जानकारी
- नस्लीय या जातीय मूल
- राजनीतिक राय
- धार्मिक या दार्शनिक मान्यताएँ
- यौन रुझान या व्यवहार
- ट्रेड यूनियन सदस्यता
- आपराधिक रिकॉर्ड की जानकारी
- सरकार द्वारा जारी पहचान विवरण
एपीपी 3.3: संगठन केवल संवेदनशील जानकारी एकत्र कर सकते हैं यदि:
- व्यक्ति ने सहमति दी है, और संगठन के कार्यों के लिए संग्रह उचित रूप से आवश्यक है; या
- आठ विशिष्ट अपवादों में से एक लागू होता है (कानून द्वारा आवश्यक, गंभीर खतरे को रोकना, आदि)
स्वास्थ्य जानकारी: अतिरिक्त सुरक्षा प्राप्त होती है - टर्नओवर की परवाह किए बिना स्वास्थ्य सेवा प्रदाताओं को कवर किया जाता है, और OAIC द्वारा जारी विशिष्ट स्वास्थ्य गोपनीयता दिशानिर्देश लागू होते हैं।
अधिसूचित डेटा उल्लंघन (एनडीबी) योजना
एनडीबी योजना (गोपनीयता अधिनियम का भाग IIIC) के लिए एपीपी संस्थाओं को पात्र डेटा उल्लंघनों के बारे में OAIC और प्रभावित व्यक्तियों को सूचित करने की आवश्यकता होती है।
योग्य डेटा उल्लंघन क्या है?
एक योग्य डेटा उल्लंघन तब होता है जब:
- किसी इकाई द्वारा रखी गई व्यक्तिगत जानकारी की अनधिकृत पहुंच, प्रकटीकरण, या हानि है; और
- एक उचित व्यक्ति यह निष्कर्ष निकालेगा कि पहुंच/प्रकटीकरण/हानि के परिणामस्वरूप उन व्यक्तियों में से किसी को गंभीर नुकसान होने की संभावना है** जिनसे जानकारी संबंधित है
गंभीर नुकसान का आकलन: जानकारी के प्रकार, संवेदनशीलता, क्या सुरक्षा तकनीक लागू की गई, किसने इसे एक्सेस किया/प्राप्त किया, और संभावित नुकसान (वित्तीय, शारीरिक, मनोवैज्ञानिक, प्रतिष्ठित) पर विचार करें।
अधिसूचना समयरेखा
| कदम | आवश्यकता | समयरेखा |
|---|---|---|
| संभावित उल्लंघन से अवगत रहें | आचरण मूल्यांकन | यथाशीघ्र यथोचित व्यावहारिक |
| सम्पूर्ण मूल्यांकन | निर्धारित करें कि क्या उल्लंघन योग्य है | जागरूक होने के 30 दिन से अधिक बाद नहीं |
| OAIC को सूचित करें | OAIC पोर्टल के माध्यम से NDB रिपोर्ट सबमिट करें | उचित विश्वास बनाने के बाद जितनी जल्दी संभव हो |
| प्रभावित व्यक्तियों को सूचित करें | प्रत्यक्ष अधिसूचना (या अव्यावहारिक होने पर सार्वजनिक अधिसूचना) | उसी समय OAIC अधिसूचना |
आपातकालीन डेटा उल्लंघन - जहां गंभीर नुकसान होने की संभावना है और संस्थाओं को इसके बारे में तुरंत पता है - 30 दिनों की प्रतीक्षा किए बिना, जितनी जल्दी हो सके OAIC और व्यक्तियों को सूचित किया जाना चाहिए।
OAIC अधिसूचना सामग्री:
- इकाई का नाम और संपर्क विवरण
- उल्लंघन का विवरण
- प्रभावित व्यक्तियों की श्रेणियां और अनुमानित संख्या
- शामिल जानकारी (अभिलेखों का प्रकार और अनुमानित संख्या)
- प्रतिक्रिया में उठाए गए कदम या योजना बनाई गई
2024 गोपनीयता अधिनियम सुधार
गोपनीयता और अन्य विधान संशोधन अधिनियम 2024 (नवंबर 2024 में अधिनियमित) ने महत्वपूर्ण परिवर्तन पेश किए। प्रमुख सुधारों में शामिल हैं:
गोपनीयता आक्रमण के लिए वैधानिक अत्याचार
एक नया कार्रवाई का वैधानिक कारण व्यक्तियों को OAIC की भागीदारी की आवश्यकता के बिना, संघीय न्यायालय में गोपनीयता के गंभीर उल्लंघन के लिए संगठनों पर सीधे मुकदमा करने की अनुमति देता है। उपचारों में क्षति (गंभीर और अनुकरणीय क्षति सहित), निषेधाज्ञा और लाभ का हिसाब शामिल है। कार्रवाई का यह निजी अधिकार व्यवसायों के लिए मुकदमेबाजी जोखिम को काफी बढ़ा देता है।
दो प्रकार के आक्रमण: (1) एकांत पर घुसपैठ - निजी मामलों में भौतिक या इलेक्ट्रॉनिक घुसपैठ; (2) निजी जानकारी का दुरुपयोग - निजी जानकारी एकत्र करना, उपयोग करना या प्रकट करना।
किसी आक्रमण पर तभी कार्रवाई की जा सकती है जब एक उचित व्यक्ति इसे अत्यधिक आक्रामक मानेगा, और वादी को परिस्थितियों में गोपनीयता की उचित अपेक्षा थी।
उच्च दंड
गंभीर या बार-बार गोपनीयता में हस्तक्षेप के लिए अधिकतम नागरिक जुर्माना बढ़ाकर $50 मिलियन AUD प्रति उल्लंघन ($2.22 मिलियन से अधिक) कर दिया गया है। अदालतें उल्लंघन से प्राप्त लाभ का तीन गुना, या उल्लंघन अवधि के दौरान ऑस्ट्रेलियाई टर्नओवर का 30% - जो भी उच्चतम हो, के आधार पर दंड का आदेश दे सकती हैं। ये ऑस्ट्रेलिया के प्रतिस्पर्धा कानून में उच्चतम स्तरीय दंडों से मेल खाते हैं।
विस्तारित OAIC शक्तियां
OAIC के पास अब है:
- बिना किसी शिकायत के स्वप्रेरणा से जांच करने की शक्ति
- कम गंभीर उल्लंघनों के लिए उल्लंघन नोटिस शक्तियां
- प्रारंभिक खोज और अंतरिम निषेधाज्ञा मांगने की शक्तियां
- विदेशी गोपनीयता अधिकारियों के साथ जानकारी साझा करने की क्षमता
बच्चों का ऑनलाइन गोपनीयता कोड
2024 अधिनियम बच्चों के ऑनलाइन गोपनीयता कोड के लिए एक रूपरेखा बनाता है - बच्चों के लिए निर्देशित ऑनलाइन सेवाओं के लिए अनिवार्य आवश्यकताएं (18 वर्ष से कम उम्र के लोग जो सेवा के लिए प्रासंगिक आयु में हैं)। यह कोड डेटा न्यूनतमकरण, माता-पिता के लिए पारदर्शिता और बच्चे-उपयुक्त डिज़ाइन पर विशिष्ट दायित्व लगाएगा। विकास जारी है; संगठनों को OAIC विकास की निगरानी करनी चाहिए।
प्रत्यक्ष विपणन सुधार
प्रत्यक्ष विपणन पर बढ़े हुए प्रतिबंध: व्यक्ति अपनी व्यक्तिगत जानकारी के आधार पर लक्षित विज्ञापन से बाहर निकल सकते हैं, जिसमें लक्षित विज्ञापन उद्देश्यों के लिए प्रोफाइलिंग भी शामिल है।
स्वचालित निर्णय लेने की पारदर्शिता
व्यक्तिगत जानकारी का उपयोग करके महत्वपूर्ण स्वचालित निर्णयों के बारे में पारदर्शिता के लिए नई आवश्यकताएँ - संगठनों को व्यक्तियों पर महत्वपूर्ण प्रभाव वाले स्वचालित निर्णयों के तर्क को समझाने में सक्षम होना चाहिए।
सीमा पार प्रकटीकरण (एपीपी 8)
एपीपी 8 सबसे गलत समझे जाने वाले एपीपी में से एक है। जब आप विदेशी प्राप्तकर्ताओं को व्यक्तिगत जानकारी का खुलासा करते हैं:
डिफ़ॉल्ट नियम: आपको यह सुनिश्चित करने के लिए उचित कदम उठाने होंगे कि विदेशी प्राप्तकर्ता उस जानकारी के संबंध में एपीपी का उल्लंघन न करे। आप विदेशी प्राप्तकर्ता के प्रबंधन के लिए जवाबदेह बने रहेंगे।
सहमति अपवाद: यदि आपने व्यक्ति को स्पष्ट रूप से सूचित किया है कि आप उनकी जानकारी विदेशी प्राप्तकर्ताओं के साथ साझा कर सकते हैं और आप विदेशी प्राप्तकर्ता के संचालन - और व्यक्तिगत सहमति के लिए जवाबदेह नहीं हो सकते हैं, तो आप जवाबदेह बने बिना सीमाओं के पार खुलासा कर सकते हैं।
पर्याप्तता अपवाद: यदि OAIC ने निर्धारित किया है कि विदेशी देश में काफी हद तक समान गोपनीयता सुरक्षा है तो प्रकटीकरण की अनुमति है।
क्लाउड और SaaS के लिए व्यावहारिक निहितार्थ:
- यदि आपका क्लाउड प्रदाता ऑस्ट्रेलिया के बाहर डेटा संग्रहीत करता है, तो एपीपी 8 लागू होता है
- आप केवल क्लाउड प्रदाता की शर्तों की ओर संकेत नहीं कर सकते - आपको उचित कदम उठाने होंगे (संविदात्मक सुरक्षा, सुरक्षा मूल्यांकन)
- यदि डेटा कई अंतरराष्ट्रीय क्षेत्रों में संग्रहीत किया जाता है, तो प्रत्येक स्थान एक संभावित प्रकटीकरण है
OAIC प्रवर्तन और शिकायत प्रक्रिया
शिकायत मार्ग:
- व्यक्ति संगठन से शिकायत करता है (संगठन के पास जवाब देने के लिए 30 दिन का समय होता है)
- यदि अनसुलझा या संस्था जवाब देने में विफल रहती है, तो व्यक्ति OAIC से शिकायत कर सकता है
- OAIC शिकायत का समाधान करता है; यदि समाधान नहीं हुआ तो OAIC जांच कर सकता है
- OAIC मुआवजे का आदेश देने सहित निर्णय ले सकता है
सिविल दंड कार्यवाही:
- OAIC गंभीर मामलों को संघीय न्यायालय को संदर्भित करता है
- न्यायालय नागरिक दंड ($50 मिलियन तक) लगा सकता है
- OAIC प्रवर्तनीय उपक्रमों को भी स्वीकार कर सकता है
नियामक जांच:
- OAIC स्वयं-गति से जांच शुरू कर सकता है
- संस्थाओं से जानकारी प्रदान करने, साक्षात्कार में भाग लेने, दस्तावेज़ प्रस्तुत करने की अपेक्षा की जा सकती है
- ऑडिट कर सकते हैं (योजनाबद्ध या अघोषित)
उल्लेखनीय प्रवर्तन कार्रवाइयां: OAIC ने उबर टेक्नोलॉजीज (एनडीबी योजना का उल्लंघन), आरआई एडवाइस ग्रुप (अपर्याप्त सुरक्षा), और ऑस्ट्रेलियाई चुनाव आयोग (एपीपी 11 सुरक्षा विफलता) सहित प्रमुख मामलों को आगे बढ़ाया है। ऑप्टस डेटा उल्लंघन (2022, 9.8 मिलियन ऑस्ट्रेलियाई प्रभावित) और मेडिबैंक उल्लंघन (2022, 9.7 मिलियन ग्राहक) ने महत्वपूर्ण नियामक और विधायी ध्यान आकर्षित किया।
ऑस्ट्रेलिया गोपनीयता अनुपालन चेकलिस्ट
- गोपनीयता अधिनियम प्रयोज्यता की पुष्टि की गई (कारोबार सीमा, विशिष्ट गतिविधियां)
- गोपनीयता नीति प्रकाशित, अद्यतन और सभी एपीपी को कवर करती है
- एपीपी 5 अधिसूचना संग्रह के बिंदु पर प्रदान की गई (सभी डेटा कैप्चर फॉर्म पर संग्रह नोटिस)
- संवेदनशील जानकारी की पहचान की गई - संग्रह के लिए सहमति प्राप्त की गई
- डेटा न्यूनीकरण की समीक्षा की गई - केवल उचित रूप से आवश्यक जानकारी एकत्र करना
- एपीपी 6 माध्यमिक उपयोग/प्रकटीकरण मूल्यांकन प्रलेखित
- प्रत्यक्ष विपणन ऑप्ट-आउट तंत्र लागू किया गया (एपीपी 7)
- विदेशी प्रकटीकरण मूल्यांकन पूरा हुआ - प्राप्तकर्ता एपीपी अनुपालन सुनिश्चित करने के लिए उचित कदम (एपीपी 8)
- डेटा सुरक्षा उपाय लागू और प्रलेखित (एपीपी 11)
- डेटा प्रतिधारण और विनाश/पहचान मिटाने की नीति लागू की गई (एपीपी 11.2)
- व्यक्तिगत पहुँच और सुधार प्रक्रियाएँ प्रलेखित (एपीपी 12, 13)
- एनडीबी प्रतिक्रिया प्रक्रिया का दस्तावेजीकरण और परीक्षण किया गया (30-दिवसीय मूल्यांकन समयरेखा)
- OAIC उल्लंघन अधिसूचना टेम्पलेट तैयार किया गया
- बच्चों की डेटा प्रथाओं की समीक्षा की गई - बच्चों की ऑनलाइन गोपनीयता संहिता के लिए तैयारी करें
- स्वचालित निर्णय लेने की पारदर्शिता समीक्षा आयोजित की गई
- एपीपी और एनडीबी योजना पर कर्मचारियों का प्रशिक्षण पूरा हो गया
अक्सर पूछे जाने वाले प्रश्न
क्या गोपनीयता अधिनियम मेरे छोटे व्यवसाय पर लागू होता है?
आम तौर पर, गोपनीयता अधिनियम केवल निजी क्षेत्र के संगठनों पर लागू होता है जिनका वार्षिक कारोबार $3 मिलियन से अधिक होता है। हालाँकि, यदि आप एक स्वास्थ्य सेवा प्रदाता हैं, व्यक्तिगत जानकारी का व्यापार करते हैं, एक सरकारी ठेकेदार हैं, एक आवासीय किरायेदारी डेटाबेस संचालित करते हैं, या एक कवर इकाई से संबंधित हैं, तो टर्नओवर की परवाह किए बिना आपको कवर किया जा सकता है। इसके अतिरिक्त, राज्य/क्षेत्र गोपनीयता कानून आपकी व्यावसायिक गतिविधियों पर लागू हो सकते हैं - विशेष रूप से विशिष्ट क्षेत्रों के लिए क्वींसलैंड, एनएसडब्ल्यू और विक्टोरिया में।
ऑस्ट्रेलियाई कानून के तहत "संवेदनशील जानकारी" के रूप में क्या गिना जाता है?
संवेदनशील जानकारी एक परिभाषित श्रेणी है जिसमें स्वास्थ्य जानकारी, आनुवंशिक जानकारी, बायोमेट्रिक जानकारी (विशिष्ट पहचान के लिए), नस्लीय या जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक विश्वास, यौन अभिविन्यास या प्रथाएं, ट्रेड यूनियन सदस्यता और आपराधिक रिकॉर्ड जानकारी शामिल है। संवेदनशील जानकारी के संग्रहण के लिए सहमति की आवश्यकता होती है और यह आपके कार्यों के लिए उचित रूप से आवश्यक होनी चाहिए। स्वास्थ्य संबंधी जानकारी OAIC से सबसे व्यापक सुरक्षा और अतिरिक्त मार्गदर्शन प्राप्त करती है।
एनडीबी योजना के तहत 30-दिवसीय मूल्यांकन अवधि क्या है?
जब किसी संगठन को पता चलता है कि डेटा उल्लंघन हुआ है, तो उसके पास मूल्यांकन करने और यह निर्धारित करने के लिए 30 दिन का समय होता है कि क्या यह एक योग्य डेटा उल्लंघन है (जिसके परिणामस्वरूप गंभीर नुकसान होने की संभावना है)। इस 30-दिन की अवधि के दौरान, संगठनों को जांच करनी चाहिए कि क्या हुआ, कौन सी जानकारी शामिल थी, कौन प्रभावित हुआ और क्या गंभीर नुकसान की संभावना है। यदि किसी योग्य उल्लंघन की पहचान की जाती है, तो OAIC और प्रभावित व्यक्तियों को यथाशीघ्र सूचित किया जाना चाहिए - पात्र उल्लंघन का निर्धारण होने के बाद कोई अतिरिक्त प्रतीक्षा अवधि नहीं है।
ऑस्ट्रेलिया में AWS या Azure का उपयोग करते समय APP 8 कैसे लागू होता है?
यदि आप पूरी तरह से ऑस्ट्रेलियाई डेटा केंद्रों (एडब्ल्यूएस एपी-साउथईस्ट-2 सिडनी, एज़्योर ऑस्ट्रेलिया ईस्ट) के भीतर तैनात एडब्ल्यूएस या एज़्योर सेवाओं का उपयोग करते हैं, तो आपके पास विदेशी प्रकटीकरण समस्या नहीं हो सकती है - डेटा ऑस्ट्रेलिया में रहता है। यदि आप वैश्विक बुनियादी ढांचे (सामग्री वितरण नेटवर्क, वैश्विक प्रतिकृति, विदेशों से समर्थन पहुंच) वाली सेवाओं का उपयोग करते हैं, तो आप विदेशों में डेटा का खुलासा कर सकते हैं। अपने क्लाउड प्रदाता के डेटा प्रोसेसिंग दस्तावेज़ की सावधानीपूर्वक समीक्षा करें। कई प्रदाता विदेशी उप-प्रसंस्करण के लिए संविदात्मक सुरक्षा के माध्यम से एपीपी 8 आवश्यकताओं को कवर करने वाले ऑस्ट्रेलियाई डेटा रेजिडेंसी गारंटी और डेटा प्रोसेसिंग समझौते की पेशकश करते हैं।
गोपनीयता के लिए नया वैधानिक अपकृत्य क्या है और यह व्यवसायों को कैसे प्रभावित करता है?
वैधानिक अपकृत्य (2024 गोपनीयता अधिनियम सुधारों द्वारा प्रस्तुत) व्यक्तियों के लिए OAIC से गुजरे बिना गंभीर गोपनीयता उल्लंघन के लिए संघीय न्यायालय में संगठनों पर मुकदमा करने का सीधा अधिकार बनाता है। दो श्रेणियां हैं: एकांत में घुसपैठ और निजी जानकारी का दुरुपयोग। अपकृत्य वहां लागू होता है जहां एक उचित व्यक्ति आक्रमण को अत्यधिक आक्रामक मानता है और व्यक्ति को गोपनीयता की उचित अपेक्षा होती है। संभावित उपायों में प्रतिपूरक क्षति, गंभीर क्षति, अनुकरणीय क्षति, निषेधाज्ञा और लाभ का हिसाब शामिल है। इससे व्यक्तिगत जानकारी संभालने वाले व्यवसायों के लिए मुकदमेबाजी का जोखिम काफी बढ़ जाता है - गंभीर डेटा उल्लंघनों के लिए वर्ग कार्रवाई अब एक यथार्थवादी संभावना है।
अगले कदम
ऑस्ट्रेलिया के गोपनीयता अधिनियम सुधार मजबूत प्रवर्तन, उच्च दंड और अधिक व्यक्तिगत अधिकारों की ओर बदलाव का संकेत देते हैं - जो वैश्विक मानकों के साथ अधिक निकटता से मेल खाते हैं। चाहे आप पहली बार अनुपालन का आकलन कर रहे हों या 2024 के सुधारों को ध्यान में रखते हुए अपने कार्यक्रम को अपडेट कर रहे हों, ECOSIRE की टीम आपके व्यवसाय के लिए उपयुक्त गोपनीयता-दर-डिज़ाइन सिस्टम और अनुपालन प्रक्रियाओं को डिज़ाइन करने में मदद कर सकती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। ऑस्ट्रेलियाई गोपनीयता कानून निरंतर सुधार के अधीन है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य ऑस्ट्रेलियाई कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE Research and Development Team
ECOSIRE में एंटरप्राइज़-ग्रेड डिजिटल उत्पाद बना रहे हैं। Odoo एकीकरण, ई-कॉमर्स ऑटोमेशन, और AI-संचालित व्यावसायिक समाधानों पर अंतर्दृष्टि साझा कर रहे हैं।
संबंधित लेख
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulation से और अधिक
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.