हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंऑस्ट्रेलिया का गोपनीयता अधिनियम 1988 (सीटीएच) ऑस्ट्रेलियाई लोगों की व्यक्तिगत जानकारी की रक्षा करने वाला प्राथमिक संघीय गोपनीयता कानून है। गोपनीयता विधान संशोधन (ऑनलाइन गोपनीयता और अन्य उपायों को बढ़ाना) अधिनियम 2021 और गोपनीयता और अन्य विधान संशोधन अधिनियम 2024 के माध्यम से महत्वपूर्ण रूप से मजबूत किया गया, ऑस्ट्रेलिया का गोपनीयता ढांचा 2014 में ऑस्ट्रेलियाई गोपनीयता सिद्धांतों (एपीपी) की शुरूआत के बाद से अपने सबसे महत्वपूर्ण सुधार के दौर से गुजर रहा है।
2024 के सुधारों ने गोपनीयता के गंभीर उल्लंघनों के लिए एक वैधानिक अत्याचार की शुरुआत की, दंड में काफी वृद्धि की (अब प्रति उल्लंघन $ 50 मिलियन AUD तक), ऑस्ट्रेलियाई सूचना आयुक्त (OAIC) कार्यालय की प्रवर्तन शक्तियों का विस्तार किया, और डेटा प्रतिधारण, प्रत्यक्ष विपणन और एल्गोरिथम पारदर्शिता के लिए नए दायित्व जोड़े। ऑस्ट्रेलिया में कार्यरत किसी भी संगठन के लिए मौजूदा एपीपी ढांचे और नए सुधारों दोनों को समझना आवश्यक है।
मुख्य बातें
- गोपनीयता अधिनियम 3 मिलियन डॉलर से अधिक वार्षिक कारोबार (सुधारों के साथ कम सीमा) वाली ऑस्ट्रेलियाई सरकारी एजेंसियों और निजी क्षेत्र के संगठनों पर लागू होता है।
- तेरह ऑस्ट्रेलियाई गोपनीयता सिद्धांत (एपीपी) व्यक्तिगत जानकारी के संग्रह, उपयोग, प्रकटीकरण, गुणवत्ता, सुरक्षा, पहुंच और सुधार को नियंत्रित करते हैं
- अधिसूचित डेटा उल्लंघन (एनडीबी) योजना के लिए योग्यता उल्लंघन के 30 दिनों के भीतर OAIC और प्रभावित व्यक्तियों को अधिसूचना की आवश्यकता होती है
- 2024 के सुधार पेश किए गए: एक वैधानिक गोपनीयता अपकृत्य, उच्च दंड ($50M AUD), व्यक्तियों के लिए सीधी कार्रवाई के अधिकार, और नए बच्चों की गोपनीयता दायित्व
- संवेदनशील जानकारी (स्वास्थ्य, नस्लीय मूल, बायोमेट्रिक्स, धर्म, यौन अभिविन्यास, आदि) को संग्रह और उपयोग के लिए स्पष्ट सहमति की आवश्यकता होती है
- सीमा पार प्रकटीकरण प्रतिबंधों के लिए व्यक्तिगत जानकारी के विदेशी प्राप्तकर्ताओं के लिए जवाबदेही की आवश्यकता होती है
- OAIC ऑडिट कर सकता है, शिकायतें स्वीकार कर सकता है और गंभीर मामलों को संघीय न्यायालय में नागरिक दंड कार्यवाही के लिए संदर्भित कर सकता है
- सुधार बच्चों के लिए निर्देशित सेवाओं के लिए बच्चों की ऑनलाइन गोपनीयता संहिता पेश करेंगे
गोपनीयता अधिनियम का अनुपालन किसे करना चाहिए
कवरेज सीमाएँ
गोपनीयता अधिनियम इन पर लागू होता है:
ऑस्ट्रेलियाई सरकारी एजेंसियां: सभी राष्ट्रमंडल सरकारी विभाग और एजेंसियां, साथ ही कुछ संदर्भों में कुछ राज्य/क्षेत्रीय एजेंसियां।
एपीपी संस्थाएं (निजी क्षेत्र): किसी भी वित्तीय वर्ष में वार्षिक कारोबार $3 मिलियन से अधिक वाले संगठन। यह सीमा सुधार चर्चा का विषय रही है - अधिक व्यवसायों को कवर करने के लिए सीमा को कम करने या समाप्त करने के प्रस्ताव जारी हैं।
विशिष्ट गतिविधियों वाले छोटे व्यवसाय: टर्नओवर के बावजूद, गोपनीयता अधिनियम लागू होता है यदि संगठन:
- एक स्वास्थ्य सेवा प्रदाता है (निजी प्रैक्टिस सहित)
- व्यक्तिगत जानकारी का व्यापार करता है
- ऑस्ट्रेलियाई सरकार से अनुबंधित सेवा प्रदाता है
- गोपनीयता अधिनियम में शामिल हो गया है
- एक आवासीय किरायेदारी डेटाबेस संचालित करता है
- अधिनियम के अंतर्गत आने वाली इकाई से संबंधित है
बाह्यक्षेत्रीय दायरा: गोपनीयता अधिनियम ऑस्ट्रेलियाई संगठनों और उनकी विदेशी गतिविधियों पर लागू होता है। ऑस्ट्रेलियाई उपस्थिति के बिना अपतटीय संस्थाएं जो ऑस्ट्रेलियाई लिंक (उदाहरण के लिए, ऑस्ट्रेलियाई सर्वर, ऑस्ट्रेलियाई व्यापार संबंध) के माध्यम से ऑस्ट्रेलियाई लोगों की व्यक्तिगत जानकारी एकत्र करती हैं, वे भी अधिनियम के अधीन हो सकती हैं।
प्रमुख छूटें
- कर्मचारी रिकॉर्ड (निजी क्षेत्र के संगठनों के लिए उनके रोजगार संबंध के संबंध में)
- पत्रकारिता और मीडिया (पत्रकारिता गतिविधियों के संबंध में पंजीकृत समाचार संगठन)
- ऑस्ट्रेलियाई नागरिकों/निवासियों द्वारा ऑस्ट्रेलिया के बाहर किए गए कार्य (व्यापक छूट)
- टर्नओवर सीमा से नीचे के छोटे व्यवसाय (ऊपर बताए गए अपवादों को छोड़कर)
ऑस्ट्रेलियाई गोपनीयता सिद्धांत (एपीपी)
तेरह एपीपी गोपनीयता अनुपालन के लिए मूल ढांचा बनाते हैं:
एपीपी 1 - खुला और पारदर्शी प्रबंधन: स्पष्ट रूप से व्यक्त, अद्यतन गोपनीयता नीति रखें। इसे अनुरोध पर निःशुल्क उपलब्ध कराएं।
एपीपी 2 - गुमनामी और छद्म नाम: जहां वैध और व्यावहारिक हो, व्यक्तियों को गुमनाम रूप से या छद्म नाम का उपयोग करके आपके साथ बातचीत करने का विकल्प दें।
एपीपी 3 - मांगी गई व्यक्तिगत जानकारी का संग्रह: केवल वही व्यक्तिगत जानकारी एकत्र करें जो आपके कार्यों के लिए उचित रूप से आवश्यक है। संवेदनशील जानकारी केवल सहमति से (या विशिष्ट परिस्थितियों में) एकत्र करें। जहां उचित रूप से व्यवहार्य हो, सीधे व्यक्ति से एकत्र करें।
एपीपी 4 - अनचाही व्यक्तिगत जानकारी से निपटना: यदि आपको ऐसी व्यक्तिगत जानकारी प्राप्त होती है जिसकी आपने मांग नहीं की थी और एपीपी 3 के तहत इसे एकत्र करने की अनुमति नहीं दी गई होगी, तो इसे जितनी जल्दी हो सके नष्ट कर दें या इसकी पहचान न कर दें।
एपीपी 5 - संग्रह की अधिसूचना: संग्रह के समय या उससे पहले (या उसके बाद जितनी जल्दी संभव हो), व्यक्तियों को सूचित करने के लिए उचित कदम उठाएं: आप कौन हैं, आपसे कैसे संपर्क करें, क्या संग्रह कानून द्वारा आवश्यक है, संग्रह के उद्देश्य, जानकारी प्रदान न करने के परिणाम, जानकारी और कौन प्राप्त कर सकता है, और इसे कैसे एक्सेस/सही करना है।
एपीपी 6 - व्यक्तिगत जानकारी का उपयोग या प्रकटीकरण: केवल संग्रह के प्राथमिक उद्देश्य के लिए व्यक्तिगत जानकारी का उपयोग या खुलासा करें, एक संबंधित माध्यमिक उद्देश्य जिसकी व्यक्ति उचित रूप से अपेक्षा करेगा, सहमति से, या एक विशिष्ट एपीपी 6 अपवाद के तहत (कानून, कानून प्रवर्तन, स्वास्थ्य/सुरक्षा द्वारा आवश्यक)।
एपीपी 7 - प्रत्यक्ष विपणन: प्रत्यक्ष विपणन के लिए व्यक्तिगत जानकारी का उपयोग या खुलासा तब तक नहीं करना चाहिए जब तक कि शर्तें पूरी न हो जाएं (व्यक्ति द्वारा प्रदान की गई, संवेदनशील जानकारी के लिए सहमति, सदस्यता समाप्त करने की व्यवस्था प्रदान की गई)। व्यक्ति बाहर निकलने का अनुरोध कर सकते हैं।
एपीपी 8 - सीमा पार प्रकटीकरण: विदेशी प्राप्तकर्ताओं को व्यक्तिगत जानकारी का खुलासा करने से पहले, यह सुनिश्चित करने के लिए उचित कदम उठाएं कि प्राप्तकर्ता एपीपी का उल्लंघन नहीं करता है। आप विदेशी प्राप्तकर्ता के प्रबंधन के लिए जवाबदेह हैं। यदि व्यक्तिगत सहमति हो या प्राप्तकर्ता काफी हद तक समान कानूनों वाले देश में हो तो प्रकटीकरण की अनुमति है।
एपीपी 9 - सरकार से संबंधित पहचानकर्ताओं को अपनाना, उपयोग करना या प्रकटीकरण: निजी क्षेत्र के उद्देश्यों के लिए सरकारी पहचानकर्ताओं (जैसे, मेडिकेयर नंबर, सेंटरलिंक संदर्भ) के उपयोग पर प्रतिबंध।
एपीपी 10 - व्यक्तिगत जानकारी की गुणवत्ता: यह सुनिश्चित करने के लिए उचित कदम उठाएं कि व्यक्तिगत जानकारी संग्रह, उपयोग या प्रकटीकरण से पहले सटीक, अद्यतन और पूर्ण हो।
एपीपी 11 - व्यक्तिगत जानकारी की सुरक्षा: व्यक्तिगत जानकारी को दुरुपयोग, हस्तक्षेप, हानि और अनधिकृत पहुंच, संशोधन या प्रकटीकरण से बचाने के लिए उचित कदम उठाएं। जब आवश्यकता न हो तो व्यक्तिगत जानकारी को नष्ट कर दें या उसकी पहचान मिटा दें।
एपीपी 12 - व्यक्तिगत जानकारी तक पहुंच: जहां उचित हो, अनुरोधित प्रारूप में 30 दिनों के भीतर व्यक्तियों को उनकी व्यक्तिगत जानकारी तक पहुंच प्रदान करें। अपवादों में शामिल हैं: जहां पहुंच गंभीर खतरा पैदा करेगी, दूसरों की गोपनीयता पर अनुचित प्रभाव डालेगी, वहां पहुंच गैरकानूनी होगी।
एपीपी 13 - व्यक्तिगत जानकारी में सुधार: अनुरोध पर (या अपनी पहल पर), गलत, अधूरी, पुरानी, अप्रासंगिक या भ्रामक व्यक्तिगत जानकारी को सही करें। यदि आप सुधार करने से इनकार करते हैं, तो व्यक्ति को सूचित करें और उन्हें अपने रिकॉर्ड के साथ सुधार विवरण जोड़ने की अनुमति दें।
संवेदनशील जानकारी
गोपनीयता अधिनियम संवेदनशील जानकारी को व्यक्तिगत जानकारी के एक उपसमूह के रूप में परिभाषित करता है जिसके लिए उच्च मानक की सुरक्षा की आवश्यकता होती है। संवेदनशील जानकारी में शामिल हैं:
- स्वास्थ्य संबंधी जानकारी
- आनुवंशिक जानकारी
- पहचान उद्देश्यों के लिए बायोमेट्रिक जानकारी
- नस्लीय या जातीय मूल
- राजनीतिक राय
- धार्मिक या दार्शनिक मान्यताएँ
- यौन रुझान या व्यवहार
- ट्रेड यूनियन सदस्यता
- आपराधिक रिकॉर्ड की जानकारी
- सरकार द्वारा जारी पहचान विवरण
एपीपी 3.3: संगठन केवल संवेदनशील जानकारी एकत्र कर सकते हैं यदि:
- व्यक्ति ने सहमति दी है, और संगठन के कार्यों के लिए संग्रह उचित रूप से आवश्यक है; या
- आठ विशिष्ट अपवादों में से एक लागू होता है (कानून द्वारा आवश्यक, गंभीर खतरे को रोकना, आदि)
स्वास्थ्य जानकारी: अतिरिक्त सुरक्षा प्राप्त होती है - टर्नओवर की परवाह किए बिना स्वास्थ्य सेवा प्रदाताओं को कवर किया जाता है, और OAIC द्वारा जारी विशिष्ट स्वास्थ्य गोपनीयता दिशानिर्देश लागू होते हैं।
अधिसूचित डेटा उल्लंघन (एनडीबी) योजना
एनडीबी योजना (गोपनीयता अधिनियम का भाग IIIC) के लिए एपीपी संस्थाओं को पात्र डेटा उल्लंघनों के बारे में OAIC और प्रभावित व्यक्तियों को सूचित करने की आवश्यकता होती है।
योग्य डेटा उल्लंघन क्या है?
एक योग्य डेटा उल्लंघन तब होता है जब:
- किसी इकाई द्वारा रखी गई व्यक्तिगत जानकारी की अनधिकृत पहुंच, प्रकटीकरण, या हानि है; और
- एक उचित व्यक्ति यह निष्कर्ष निकालेगा कि पहुंच/प्रकटीकरण/हानि के परिणामस्वरूप उन व्यक्तियों में से किसी को गंभीर नुकसान होने की संभावना है** जिनसे जानकारी संबंधित है
गंभीर नुकसान का आकलन: जानकारी के प्रकार, संवेदनशीलता, क्या सुरक्षा तकनीक लागू की गई, किसने इसे एक्सेस किया/प्राप्त किया, और संभावित नुकसान (वित्तीय, शारीरिक, मनोवैज्ञानिक, प्रतिष्ठित) पर विचार करें।
अधिसूचना समयरेखा
| कदम | आवश्यकता | समयरेखा |
|---|---|---|
| संभावित उल्लंघन से अवगत रहें | आचरण मूल्यांकन | यथाशीघ्र यथोचित व्यावहारिक |
| सम्पूर्ण मूल्यांकन | निर्धारित करें कि क्या उल्लंघन योग्य है | जागरूक होने के 30 दिन से अधिक बाद नहीं |
| OAIC को सूचित करें | OAIC पोर्टल के माध्यम से NDB रिपोर्ट सबमिट करें | उचित विश्वास बनाने के बाद जितनी जल्दी संभव हो |
| प्रभावित व्यक्तियों को सूचित करें | प्रत्यक्ष अधिसूचना (या अव्यावहारिक होने पर सार्वजनिक अधिसूचना) | उसी समय OAIC अधिसूचना |
आपातकालीन डेटा उल्लंघन - जहां गंभीर नुकसान होने की संभावना है और संस्थाओं को इसके बारे में तुरंत पता है - 30 दिनों की प्रतीक्षा किए बिना, जितनी जल्दी हो सके OAIC और व्यक्तियों को सूचित किया जाना चाहिए।
OAIC अधिसूचना सामग्री:
- इकाई का नाम और संपर्क विवरण
- उल्लंघन का विवरण
- प्रभावित व्यक्तियों की श्रेणियां और अनुमानित संख्या
- शामिल जानकारी (अभिलेखों का प्रकार और अनुमानित संख्या)
- प्रतिक्रिया में उठाए गए कदम या योजना बनाई गई
2024 गोपनीयता अधिनियम सुधार
गोपनीयता और अन्य विधान संशोधन अधिनियम 2024 (नवंबर 2024 में अधिनियमित) ने महत्वपूर्ण परिवर्तन पेश किए। प्रमुख सुधारों में शामिल हैं:
गोपनीयता आक्रमण के लिए वैधानिक अत्याचार
एक नया कार्रवाई का वैधानिक कारण व्यक्तियों को OAIC की भागीदारी की आवश्यकता के बिना, संघीय न्यायालय में गोपनीयता के गंभीर उल्लंघन के लिए संगठनों पर सीधे मुकदमा करने की अनुमति देता है। उपचारों में क्षति (गंभीर और अनुकरणीय क्षति सहित), निषेधाज्ञा और लाभ का हिसाब शामिल है। कार्रवाई का यह निजी अधिकार व्यवसायों के लिए मुकदमेबाजी जोखिम को काफी बढ़ा देता है।
दो प्रकार के आक्रमण: (1) एकांत पर घुसपैठ - निजी मामलों में भौतिक या इलेक्ट्रॉनिक घुसपैठ; (2) निजी जानकारी का दुरुपयोग - निजी जानकारी एकत्र करना, उपयोग करना या प्रकट करना।
किसी आक्रमण पर तभी कार्रवाई की जा सकती है जब एक उचित व्यक्ति इसे अत्यधिक आक्रामक मानेगा, और वादी को परिस्थितियों में गोपनीयता की उचित अपेक्षा थी।
उच्च दंड
गंभीर या बार-बार गोपनीयता में हस्तक्षेप के लिए अधिकतम नागरिक जुर्माना बढ़ाकर $50 मिलियन AUD प्रति उल्लंघन ($2.22 मिलियन से अधिक) कर दिया गया है। अदालतें उल्लंघन से प्राप्त लाभ का तीन गुना, या उल्लंघन अवधि के दौरान ऑस्ट्रेलियाई टर्नओवर का 30% - जो भी उच्चतम हो, के आधार पर दंड का आदेश दे सकती हैं। ये ऑस्ट्रेलिया के प्रतिस्पर्धा कानून में उच्चतम स्तरीय दंडों से मेल खाते हैं।
विस्तारित OAIC शक्तियां
OAIC के पास अब है:
- बिना किसी शिकायत के स्वप्रेरणा से जांच करने की शक्ति
- कम गंभीर उल्लंघनों के लिए उल्लंघन नोटिस शक्तियां
- प्रारंभिक खोज और अंतरिम निषेधाज्ञा मांगने की शक्तियां
- विदेशी गोपनीयता अधिकारियों के साथ जानकारी साझा करने की क्षमता
बच्चों का ऑनलाइन गोपनीयता कोड
2024 अधिनियम बच्चों के ऑनलाइन गोपनीयता कोड के लिए एक रूपरेखा बनाता है - बच्चों के लिए निर्देशित ऑनलाइन सेवाओं के लिए अनिवार्य आवश्यकताएं (18 वर्ष से कम उम्र के लोग जो सेवा के लिए प्रासंगिक आयु में हैं)। यह कोड डेटा न्यूनतमकरण, माता-पिता के लिए पारदर्शिता और बच्चे-उपयुक्त डिज़ाइन पर विशिष्ट दायित्व लगाएगा। विकास जारी है; संगठनों को OAIC विकास की निगरानी करनी चाहिए।
प्रत्यक्ष विपणन सुधार
प्रत्यक्ष विपणन पर बढ़े हुए प्रतिबंध: व्यक्ति अपनी व्यक्तिगत जानकारी के आधार पर लक्षित विज्ञापन से बाहर निकल सकते हैं, जिसमें लक्षित विज्ञापन उद्देश्यों के लिए प्रोफाइलिंग भी शामिल है।
स्वचालित निर्णय लेने की पारदर्शिता
व्यक्तिगत जानकारी का उपयोग करके महत्वपूर्ण स्वचालित निर्णयों के बारे में पारदर्शिता के लिए नई आवश्यकताएँ - संगठनों को व्यक्तियों पर महत्वपूर्ण प्रभाव वाले स्वचालित निर्णयों के तर्क को समझाने में सक्षम होना चाहिए।
सीमा पार प्रकटीकरण (एपीपी 8)
एपीपी 8 सबसे गलत समझे जाने वाले एपीपी में से एक है। जब आप विदेशी प्राप्तकर्ताओं को व्यक्तिगत जानकारी का खुलासा करते हैं:
डिफ़ॉल्ट नियम: आपको यह सुनिश्चित करने के लिए उचित कदम उठाने होंगे कि विदेशी प्राप्तकर्ता उस जानकारी के संबंध में एपीपी का उल्लंघन न करे। आप विदेशी प्राप्तकर्ता के प्रबंधन के लिए जवाबदेह बने रहेंगे।
सहमति अपवाद: यदि आपने व्यक्ति को स्पष्ट रूप से सूचित किया है कि आप उनकी जानकारी विदेशी प्राप्तकर्ताओं के साथ साझा कर सकते हैं और आप विदेशी प्राप्तकर्ता के संचालन - और व्यक्तिगत सहमति के लिए जवाबदेह नहीं हो सकते हैं, तो आप जवाबदेह बने बिना सीमाओं के पार खुलासा कर सकते हैं।
पर्याप्तता अपवाद: यदि OAIC ने निर्धारित किया है कि विदेशी देश में काफी हद तक समान गोपनीयता सुरक्षा है तो प्रकटीकरण की अनुमति है।
क्लाउड और SaaS के लिए व्यावहारिक निहितार्थ:
- यदि आपका क्लाउड प्रदाता ऑस्ट्रेलिया के बाहर डेटा संग्रहीत करता है, तो एपीपी 8 लागू होता है
- आप केवल क्लाउड प्रदाता की शर्तों की ओर संकेत नहीं कर सकते - आपको उचित कदम उठाने होंगे (संविदात्मक सुरक्षा, सुरक्षा मूल्यांकन)
- यदि डेटा कई अंतरराष्ट्रीय क्षेत्रों में संग्रहीत किया जाता है, तो प्रत्येक स्थान एक संभावित प्रकटीकरण है
OAIC प्रवर्तन और शिकायत प्रक्रिया
शिकायत मार्ग:
- व्यक्ति संगठन से शिकायत करता है (संगठन के पास जवाब देने के लिए 30 दिन का समय होता है)
- यदि अनसुलझा या संस्था जवाब देने में विफल रहती है, तो व्यक्ति OAIC से शिकायत कर सकता है
- OAIC शिकायत का समाधान करता है; यदि समाधान नहीं हुआ तो OAIC जांच कर सकता है
- OAIC मुआवजे का आदेश देने सहित निर्णय ले सकता है
सिविल दंड कार्यवाही:
- OAIC गंभीर मामलों को संघीय न्यायालय को संदर्भित करता है
- न्यायालय नागरिक दंड ($50 मिलियन तक) लगा सकता है
- OAIC प्रवर्तनीय उपक्रमों को भी स्वीकार कर सकता है
नियामक जांच:
- OAIC स्वयं-गति से जांच शुरू कर सकता है
- संस्थाओं से जानकारी प्रदान करने, साक्षात्कार में भाग लेने, दस्तावेज़ प्रस्तुत करने की अपेक्षा की जा सकती है
- ऑडिट कर सकते हैं (योजनाबद्ध या अघोषित)
उल्लेखनीय प्रवर्तन कार्रवाइयां: OAIC ने उबर टेक्नोलॉजीज (एनडीबी योजना का उल्लंघन), आरआई एडवाइस ग्रुप (अपर्याप्त सुरक्षा), और ऑस्ट्रेलियाई चुनाव आयोग (एपीपी 11 सुरक्षा विफलता) सहित प्रमुख मामलों को आगे बढ़ाया है। ऑप्टस डेटा उल्लंघन (2022, 9.8 मिलियन ऑस्ट्रेलियाई प्रभावित) और मेडिबैंक उल्लंघन (2022, 9.7 मिलियन ग्राहक) ने महत्वपूर्ण नियामक और विधायी ध्यान आकर्षित किया।
ऑस्ट्रेलिया गोपनीयता अनुपालन चेकलिस्ट
- गोपनीयता अधिनियम प्रयोज्यता की पुष्टि की गई (कारोबार सीमा, विशिष्ट गतिविधियां)
- गोपनीयता नीति प्रकाशित, अद्यतन और सभी एपीपी को कवर करती है
- एपीपी 5 अधिसूचना संग्रह के बिंदु पर प्रदान की गई (सभी डेटा कैप्चर फॉर्म पर संग्रह नोटिस)
- संवेदनशील जानकारी की पहचान की गई - संग्रह के लिए सहमति प्राप्त की गई
- डेटा न्यूनीकरण की समीक्षा की गई - केवल उचित रूप से आवश्यक जानकारी एकत्र करना
- एपीपी 6 माध्यमिक उपयोग/प्रकटीकरण मूल्यांकन प्रलेखित
- प्रत्यक्ष विपणन ऑप्ट-आउट तंत्र लागू किया गया (एपीपी 7)
- विदेशी प्रकटीकरण मूल्यांकन पूरा हुआ - प्राप्तकर्ता एपीपी अनुपालन सुनिश्चित करने के लिए उचित कदम (एपीपी 8)
- डेटा सुरक्षा उपाय लागू और प्रलेखित (एपीपी 11)
- डेटा प्रतिधारण और विनाश/पहचान मिटाने की नीति लागू की गई (एपीपी 11.2)
- व्यक्तिगत पहुँच और सुधार प्रक्रियाएँ प्रलेखित (एपीपी 12, 13)
- एनडीबी प्रतिक्रिया प्रक्रिया का दस्तावेजीकरण और परीक्षण किया गया (30-दिवसीय मूल्यांकन समयरेखा)
- OAIC उल्लंघन अधिसूचना टेम्पलेट तैयार किया गया
- बच्चों की डेटा प्रथाओं की समीक्षा की गई - बच्चों की ऑनलाइन गोपनीयता संहिता के लिए तैयारी करें
- स्वचालित निर्णय लेने की पारदर्शिता समीक्षा आयोजित की गई
- एपीपी और एनडीबी योजना पर कर्मचारियों का प्रशिक्षण पूरा हो गया
अक्सर पूछे जाने वाले प्रश्न
क्या गोपनीयता अधिनियम मेरे छोटे व्यवसाय पर लागू होता है?
आम तौर पर, गोपनीयता अधिनियम केवल निजी क्षेत्र के संगठनों पर लागू होता है जिनका वार्षिक कारोबार $3 मिलियन से अधिक होता है। हालाँकि, यदि आप एक स्वास्थ्य सेवा प्रदाता हैं, व्यक्तिगत जानकारी का व्यापार करते हैं, एक सरकारी ठेकेदार हैं, एक आवासीय किरायेदारी डेटाबेस संचालित करते हैं, या एक कवर इकाई से संबंधित हैं, तो टर्नओवर की परवाह किए बिना आपको कवर किया जा सकता है। इसके अतिरिक्त, राज्य/क्षेत्र गोपनीयता कानून आपकी व्यावसायिक गतिविधियों पर लागू हो सकते हैं - विशेष रूप से विशिष्ट क्षेत्रों के लिए क्वींसलैंड, एनएसडब्ल्यू और विक्टोरिया में।
ऑस्ट्रेलियाई कानून के तहत "संवेदनशील जानकारी" के रूप में क्या गिना जाता है?
संवेदनशील जानकारी एक परिभाषित श्रेणी है जिसमें स्वास्थ्य जानकारी, आनुवंशिक जानकारी, बायोमेट्रिक जानकारी (विशिष्ट पहचान के लिए), नस्लीय या जातीय मूल, राजनीतिक राय, धार्मिक या दार्शनिक विश्वास, यौन अभिविन्यास या प्रथाएं, ट्रेड यूनियन सदस्यता और आपराधिक रिकॉर्ड जानकारी शामिल है। संवेदनशील जानकारी के संग्रहण के लिए सहमति की आवश्यकता होती है और यह आपके कार्यों के लिए उचित रूप से आवश्यक होनी चाहिए। स्वास्थ्य संबंधी जानकारी OAIC से सबसे व्यापक सुरक्षा और अतिरिक्त मार्गदर्शन प्राप्त करती है।
एनडीबी योजना के तहत 30-दिवसीय मूल्यांकन अवधि क्या है?
जब किसी संगठन को पता चलता है कि डेटा उल्लंघन हुआ है, तो उसके पास मूल्यांकन करने और यह निर्धारित करने के लिए 30 दिन का समय होता है कि क्या यह एक योग्य डेटा उल्लंघन है (जिसके परिणामस्वरूप गंभीर नुकसान होने की संभावना है)। इस 30-दिन की अवधि के दौरान, संगठनों को जांच करनी चाहिए कि क्या हुआ, कौन सी जानकारी शामिल थी, कौन प्रभावित हुआ और क्या गंभीर नुकसान की संभावना है। यदि किसी योग्य उल्लंघन की पहचान की जाती है, तो OAIC और प्रभावित व्यक्तियों को यथाशीघ्र सूचित किया जाना चाहिए - पात्र उल्लंघन का निर्धारण होने के बाद कोई अतिरिक्त प्रतीक्षा अवधि नहीं है।
ऑस्ट्रेलिया में AWS या Azure का उपयोग करते समय APP 8 कैसे लागू होता है?
यदि आप पूरी तरह से ऑस्ट्रेलियाई डेटा केंद्रों (एडब्ल्यूएस एपी-साउथईस्ट-2 सिडनी, एज़्योर ऑस्ट्रेलिया ईस्ट) के भीतर तैनात एडब्ल्यूएस या एज़्योर सेवाओं का उपयोग करते हैं, तो आपके पास विदेशी प्रकटीकरण समस्या नहीं हो सकती है - डेटा ऑस्ट्रेलिया में रहता है। यदि आप वैश्विक बुनियादी ढांचे (सामग्री वितरण नेटवर्क, वैश्विक प्रतिकृति, विदेशों से समर्थन पहुंच) वाली सेवाओं का उपयोग करते हैं, तो आप विदेशों में डेटा का खुलासा कर सकते हैं। अपने क्लाउड प्रदाता के डेटा प्रोसेसिंग दस्तावेज़ की सावधानीपूर्वक समीक्षा करें। कई प्रदाता विदेशी उप-प्रसंस्करण के लिए संविदात्मक सुरक्षा के माध्यम से एपीपी 8 आवश्यकताओं को कवर करने वाले ऑस्ट्रेलियाई डेटा रेजिडेंसी गारंटी और डेटा प्रोसेसिंग समझौते की पेशकश करते हैं।
गोपनीयता के लिए नया वैधानिक अपकृत्य क्या है और यह व्यवसायों को कैसे प्रभावित करता है?
वैधानिक अपकृत्य (2024 गोपनीयता अधिनियम सुधारों द्वारा प्रस्तुत) व्यक्तियों के लिए OAIC से गुजरे बिना गंभीर गोपनीयता उल्लंघन के लिए संघीय न्यायालय में संगठनों पर मुकदमा करने का सीधा अधिकार बनाता है। दो श्रेणियां हैं: एकांत में घुसपैठ और निजी जानकारी का दुरुपयोग। अपकृत्य वहां लागू होता है जहां एक उचित व्यक्ति आक्रमण को अत्यधिक आक्रामक मानता है और व्यक्ति को गोपनीयता की उचित अपेक्षा होती है। संभावित उपायों में प्रतिपूरक क्षति, गंभीर क्षति, अनुकरणीय क्षति, निषेधाज्ञा और लाभ का हिसाब शामिल है। इससे व्यक्तिगत जानकारी संभालने वाले व्यवसायों के लिए मुकदमेबाजी का जोखिम काफी बढ़ जाता है - गंभीर डेटा उल्लंघनों के लिए वर्ग कार्रवाई अब एक यथार्थवादी संभावना है।
अगले कदम
ऑस्ट्रेलिया के गोपनीयता अधिनियम सुधार मजबूत प्रवर्तन, उच्च दंड और अधिक व्यक्तिगत अधिकारों की ओर बदलाव का संकेत देते हैं - जो वैश्विक मानकों के साथ अधिक निकटता से मेल खाते हैं। चाहे आप पहली बार अनुपालन का आकलन कर रहे हों या 2024 के सुधारों को ध्यान में रखते हुए अपने कार्यक्रम को अपडेट कर रहे हों, ECOSIRE की टीम आपके व्यवसाय के लिए उपयुक्त गोपनीयता-दर-डिज़ाइन सिस्टम और अनुपालन प्रक्रियाओं को डिज़ाइन करने में मदद कर सकती है।
आरंभ करें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। ऑस्ट्रेलियाई गोपनीयता कानून निरंतर सुधार के अधीन है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य ऑस्ट्रेलियाई कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.