कनाडा PIPEDA अनुपालन: डिजिटल व्यवसायों के लिए गोपनीयता गाइड

निजी क्षेत्र के संगठनों के लिए कनाडा का गोपनीयता ढांचा - व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम (PIPEDA) पर निर्मित - 2004 में कानून लागू होने के बाद से अपने सबसे महत्वपूर्ण परिवर्तन से गुजर रहा है। जबकि PIPEDA संघीय मानक बना हुआ है, क्यूबेक का कानून 25 (निजी क्षेत्र में व्यक्तिगत जानकारी की सुरक्षा का सम्मान करने वाला अधिनियम, जैसा कि 2021-2023 में सुधार किया गया है) ने कनाडाई प्रांतीय गोपनीयता और प्रस्तावित संघीय उपभोक्ता गोपनीयता संरक्षण अधिनियम (CPPA) के लिए एक नया मानक स्थापित किया है। अंततः PIPEDA को एक मजबूत, GDPR-प्रभावित ढांचे से बदल देगा।

कनाडा के मौजूदा स्तरित गोपनीयता ढांचे को समझना - संघीय पीआईपीईडीए, क्यूबेक, अल्बर्टा और ब्रिटिश कोलंबिया में प्रांतीय कानून और क्यूबेक कानून 25 - कनाडाई उपभोक्ताओं में संचालित या उनकी सेवा करने वाले किसी भी डिजिटल व्यवसाय के लिए आवश्यक है।

मुख्य बातें

• PIPEDA निजी क्षेत्र के संगठनों पर लागू होता है जो व्यावसायिक गतिविधियों के दौरान व्यक्तिगत जानकारी एकत्र करते हैं, उपयोग करते हैं या प्रकट करते हैं - बाह्य क्षेत्रीय अनुप्रयोग के साथ
• क्यूबेक कानून 25 (सितंबर 2023 से पूरी तरह से प्रभावी) पीआईपीईडीए से अधिक सख्त है और इसमें जीडीपीआर जैसी सहमति, अधिकार और मूल्यांकन आवश्यकताएं हैं।
• दस उचित सूचना सिद्धांत (CAN/CSA मानक Q830 से) PIPEDA अनुपालन को नियंत्रित करते हैं
• पीआईपीईडीए की अनिवार्य उल्लंघन अधिसूचना के लिए ओपीसी को रिपोर्ट करना और "महत्वपूर्ण नुकसान का वास्तविक जोखिम" निर्धारित करने के 72 घंटों के भीतर व्यक्तियों को सूचित करना आवश्यक है।
• उपभोक्ता गोपनीयता संरक्षण अधिनियम (सीपीपीए) अंततः पीआईपीईडीए की जगह लेगा - अधिनियमन के लिए निगरानी
• गोपनीयता आयुक्त का कार्यालय (ओपीसी) जांच कर सकता है और अनुपालन की सिफारिश कर सकता है लेकिन सीधे जुर्माना नहीं लगा सकता - बिल सी-27 इसे बदलने का प्रस्ताव करता है
• क्यूबेक का कमीशन डी'एक्सेस ए एल'इन्फॉर्मेशन (सीएआई) कानून 25 के तहत विश्वव्यापी टर्नओवर का 4% या $25 मिलियन सीएडी तक जुर्माना लगा सकता है।
• PIPEDA के तहत सहमति सार्थक होनी चाहिए, लेकिन PIPEDA उचित संदर्भों में व्यक्त और निहित सहमति दोनों को मान्यता देता है

---

कैनेडियन गोपनीयता फ़्रेमवर्क अवलोकन

संघीय: पिपेडा

PIPEDA (व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम, 2004) कनाडा का संघीय निजी क्षेत्र गोपनीयता कानून है। यह इस पर लागू होता है:

• संघ द्वारा विनियमित उद्योगों (बैंकिंग, दूरसंचार, अंतरप्रांतीय परिवहन, प्रसारण) में निजी क्षेत्र के संगठन - प्रांत की परवाह किए बिना
• सभी प्रांतों में बिना किसी समान प्रांतीय कानून के निजी क्षेत्र के संगठन - वाणिज्यिक गतिविधियों के दौरान एकत्रित, उपयोग या खुलासा की गई जानकारी के लिए

छूट प्राप्त क्षेत्राधिकार: क्यूबेक, अल्बर्टा और ब्रिटिश कोलंबिया में प्रांतीय कानून काफी हद तक PIPEDA के समान माने जाते हैं। इन प्रांतों में, PIPEDA अभी भी संघ द्वारा विनियमित गतिविधियों और क्रॉस-प्रांतीय/सीमा पार प्रवाह पर लागू होता है। क्यूबेक का कानून 25 शीर्ष पर और आवश्यकताएं जोड़ता है।

प्रांतीय कानून

क्यूबेक (निजी क्षेत्र में व्यक्तिगत जानकारी के संरक्षण का सम्मान करने वाला अधिनियम, कानून 25): क्यूबेक में एक उद्यम चलाने के दौरान व्यक्तिगत जानकारी एकत्र करने वाले उद्यमों पर लागू होता है। कानून 25 सुधार (चरण 2022-2023 में लागू) ने पीआईपीईडीए से परे क्यूबेक की आवश्यकताओं को काफी मजबूत किया।

अलबर्टा (व्यक्तिगत सूचना संरक्षण अधिनियम - PIPA): काफी हद तक PIPEDA के समान; अल्बर्टा-आधारित निजी संगठनों की प्रांतीय गतिविधियों पर लागू होता है।

ब्रिटिश कोलंबिया (व्यक्तिगत सूचना संरक्षण अधिनियम - पीआईपीए बीसी): समान ढांचा; बीसी-आधारित निजी संगठनों की प्रांतीय गतिविधियों पर लागू होता है।

ओंटारियो, मैनिटोबा, सस्केचेवान: कोई समान प्रांतीय कानून नहीं - PIPEDA लागू होता है।

प्रस्तावित उपभोक्ता गोपनीयता संरक्षण अधिनियम (सीपीपीए)

बिल सी-27 (प्रस्तावित कानून, जून 2022 में पेश किया गया) पीआईपीईडीए की जगह उपभोक्ता गोपनीयता संरक्षण अधिनियम लागू करेगा:

• जीडीपीआर-प्रभावित सहमति आवश्यकताएँ
• एल्गोरिथम पारदर्शिता और स्वचालित निर्णय लेने के अधिकार
• डेटा गतिशीलता अधिकार
• उल्लेखनीय रूप से बढ़ाया गया जुर्माना: वैश्विक राजस्व का 3% तक या $10 मिलियन CAD (टियर 1); वैश्विक राजस्व का 5% या $25 मिलियन CAD (टियर 2)
• ओपीसी के निर्णयों पर निर्णय लेने के लिए एक स्वतंत्र गोपनीयता न्यायाधिकरण
• स्पष्ट बच्चों की गोपनीयता सुरक्षा

2026 की शुरुआत तक, सीपीपीए अधिनियमित नहीं किया गया है। व्यवसायों को विधायी प्रगति की निगरानी करनी चाहिए और अनुपालन कार्यक्रमों को डिजाइन करना चाहिए जिन्हें अधिनियमित होने पर नए ढांचे में अनुकूलित किया जा सके।

---

PIPEDA के दस निष्पक्ष सूचना सिद्धांत

PIPEDA व्यक्तिगत जानकारी की सुरक्षा के लिए कनाडाई मानक एसोसिएशन के मॉडल कोड (CAN/CSA Q830) के दस सिद्धांतों पर बनाया गया है:

PIPEDA के तहत सहमति: सिद्धांत 3 के लिए सार्थक सहमति की आवश्यकता है - व्यक्तियों को यह समझना चाहिए कि वे किस चीज़ के लिए सहमति दे रहे हैं। सहमति व्यक्त (स्पष्ट, लिखित, या मौखिक) या निहित हो सकती है (जहां उद्देश्य स्पष्ट है और व्यक्ति उचित रूप से इसकी अपेक्षा करेगा)। निहित सहमति कम संवेदनशील जानकारी और कम जोखिम वाले उपयोग के लिए उपयुक्त है। संवेदनशील जानकारी और ऐसे उपयोगों के लिए जिनकी व्यक्तियों को अपेक्षा नहीं होगी, व्यक्त सहमति आवश्यक है।

ओपीसी ने लगातार पाया है कि "बंडल सहमति" (कई उद्देश्यों के लिए एक टिक बॉक्स) और "डीम्ड सहमति" (घने नियमों और शर्तों में डेटा प्रथाओं को दफनाना) सार्थक सहमति नहीं है।

---

क्यूबेक कानून 25: मजबूत आवश्यकताएँ

क्यूबेक का कानून 25 (व्यक्तिगत जानकारी की सुरक्षा के संबंध में विधायी प्रावधानों को आधुनिक बनाने का अधिनियम) कनाडा में सबसे महत्वपूर्ण प्रांतीय गोपनीयता सुधार का प्रतिनिधित्व करता है। तीन चरणों में लागू किया गया:

चरण 1 (सितंबर 2022): अनिवार्य उल्लंघन अधिसूचना, शासन आवश्यकताएँ, गोपनीयता अधिकारी पदनाम, प्रतिधारण अनुसूची नीतियां

चरण 2 (सितंबर 2023): गोपनीयता प्रभाव आकलन, नए व्यक्तिगत अधिकार (पहुंच, सुधार, पोर्टेबिलिटी, प्रोफाइलिंग पर आपत्ति), सहमति मानक, स्वचालित निर्णय लेने के लिए पारदर्शिता आवश्यकताएं

चरण 3 (सितंबर 2023, जारी): डेटा पोर्टेबिलिटी अधिकार, डी-इंडेक्सिंग अधिकार (विस्मरण का अधिकार), सीमा पार स्थानांतरण सुरक्षा प्रभाव आकलन

मुख्य कानून PIPEDA से परे 25 आवश्यकताएँ

गोपनीयता प्रभाव आकलन (पीआईए): व्यक्तिगत जानकारी के संग्रह, उपयोग या संचार से संबंधित किसी भी परियोजना से पहले आवश्यक। उच्च जोखिम वाली परियोजनाओं के लिए पीआईए को सीएआई को सूचित किया जाना चाहिए।

सीमा पार स्थानांतरण पीआईए: क्यूबेक के बाहर व्यक्तिगत जानकारी संचारित करने से पहले, उद्यमों को सीएआई द्वारा निर्धारित मानदंडों का उपयोग करके गोपनीयता सुरक्षा प्रभाव मूल्यांकन करना होगा। इसमें जानकारी की संवेदनशीलता, गंतव्य क्षेत्राधिकार में कानूनी सुरक्षा और जानकारी की सुरक्षा के लिए लागू किए जाने वाले उपायों पर विचार किया जाना चाहिए।

डी-इंडेक्सिंग का अधिकार (विस्मरण का अधिकार): व्यक्ति अपने नाम से जुड़े हाइपरलिंक को हटाने का अनुरोध कर सकते हैं जो व्यक्तिगत जानकारी प्रसारित करते हैं: जानकारी अब सटीक नहीं है, व्यक्ति नाबालिग है, या इंडेक्सिंग के लिए कोई वैध औचित्य नहीं है।

स्वचालित निर्णय लेने की पारदर्शिता: जहां विशेष रूप से व्यक्तिगत जानकारी के स्वचालित प्रसंस्करण पर आधारित निर्णय कानूनी या महत्वपूर्ण प्रभावों के साथ किया जाता है, व्यक्तियों को सूचित किया जाना चाहिए और उन्हें मानव समीक्षा का अनुरोध करने का अधिकार होना चाहिए।

सहमति मानक: सहमति स्पष्ट, स्वतंत्र रूप से दी गई और सूचित होनी चाहिए। प्रत्येक विशिष्ट उद्देश्य के लिए इसका अनुरोध किया जाना चाहिए। क्यूबेक के लिए आम तौर पर अंतर्निहित सहमति पर्याप्त नहीं है - स्पष्ट, सकारात्मक कार्रवाई की आवश्यकता है।

जुर्माना: सीएआई कानून 25 के गंभीर उल्लंघन के लिए 25 मिलियन डॉलर सीएडी या विश्वव्यापी टर्नओवर का 4% (जो भी अधिक हो) का जुर्माना लगा सकता है। सीएआई ने प्रवर्तन शुरू कर दिया है और अपना पहला दंड निर्णय जारी किया है।

---

PIPEDA के तहत अनिवार्य उल्लंघन रिपोर्टिंग

PIPEDA के तहत अनिवार्य उल्लंघन रिपोर्टिंग आवश्यकताएं (1 नवंबर, 2018 से लागू) तब लागू होती हैं जब सुरक्षा सुरक्षा उपायों का उल्लंघन व्यक्तियों के लिए "महत्वपूर्ण नुकसान का वास्तविक जोखिम" पैदा करता है।

महत्वपूर्ण नुकसान में शामिल हैं: शारीरिक नुकसान, अपमान, प्रतिष्ठा को नुकसान, रोजगार, व्यवसाय या पेशेवर अवसरों की हानि, वित्तीय नुकसान, पहचान की चोरी, क्रेडिट रिकॉर्ड पर नकारात्मक प्रभाव, और रिश्तों को नुकसान या विश्वास की हानि।

रिपोर्टिंग आवश्यकताएँ:

1. ओपीसी को रिपोर्ट करें: महत्वपूर्ण नुकसान के वास्तविक जोखिम का निर्धारण करने के बाद जितनी जल्दी संभव हो। ओपीसी के डेटा ब्रीच रिपोर्टिंग फॉर्म का उपयोग करें।

2. प्रभावित व्यक्तियों को सूचित करें: ओपीसी रिपोर्टिंग के समय, या जितनी जल्दी संभव हो। अधिसूचना अवश्य होनी चाहिए:

• उल्लंघन की परिस्थितियों का वर्णन करें
• पहचानें कि कौन सी व्यक्तिगत जानकारी शामिल थी
• उल्लंघन को संबोधित करने के लिए उठाए गए कदमों का वर्णन करें
• बताएं कि प्रभावित व्यक्ति अपनी सुरक्षा के लिए क्या कर सकते हैं
• संगठन के लिए संपर्क जानकारी प्रदान करें

3. अन्य संगठनों को सूचित करें: जहां कोई अन्य संगठन नुकसान के जोखिम को कम करने में सक्षम हो सकता है (उदाहरण के लिए, क्रेडिट ब्यूरो, कानून प्रवर्तन), उन्हें सूचित करें।

रिकॉर्ड-कीपिंग: 24 महीनों तक सभी उल्लंघनों (चाहे महत्वपूर्ण नुकसान का वास्तविक जोखिम निर्धारित किया गया हो या नहीं) का रिकॉर्ड बनाए रखें। ओपीसी इन अभिलेखों का अनुरोध कर सकता है।

क्यूबेक कानून 25 उल्लंघन आवश्यकताएँ: क्यूबेक की अपनी अधिसूचना आवश्यकताएँ क्यूबेक में उद्यमों पर लागू होती हैं। कानून 25 में सीएआई के निर्धारित फॉर्म का उपयोग करते हुए नुकसान का जोखिम पेश करने वाली व्यक्तिगत जानकारी से जुड़ी गोपनीयता घटना के बारे में जागरूक होने के 72 घंटों के भीतर सीएआई को अधिसूचना की आवश्यकता होती है।

---

डेटा स्थानांतरण और जवाबदेही

PIPEDA का जवाबदेही सिद्धांत (सिद्धांत 1) तीसरे पक्ष के डेटा प्रबंधन तक फैला हुआ है: संगठन अपनी हिरासत में मौजूद व्यक्तिगत जानकारी के लिए जिम्मेदार हैं, जिसमें प्रसंस्करण के लिए तीसरे पक्ष को हस्तांतरित किया जाना भी शामिल है। प्रोसेसरों के साथ अनुबंधों को तुलनीय सुरक्षा प्रदान करनी चाहिए।

सीमा पार स्थानांतरण: PIPEDA सीमा पार डेटा स्थानांतरण पर प्रतिबंध नहीं लगाता है, लेकिन विदेशों में स्थानांतरित होने पर संगठनों को अपनी व्यक्तिगत जानकारी के लिए जवाबदेह होने की आवश्यकता होती है। तुलनीय सुरक्षा सुनिश्चित करने के लिए संविदात्मक समझौतों का उपयोग करें। ओपीसी के दिशानिर्देश उन देशों का दस्तावेजीकरण करने की सलाह देते हैं जिनमें डेटा स्थानांतरित किया जा सकता है।

क्यूबेक कानून 25 सीमा-पार प्रतिबंध: क्यूबेक एक सख्त सीमा-पार स्थानांतरण ढांचा लागू करता है, जिसमें गंतव्य सुरक्षा, सूचना की संवेदनशीलता और लागू सुरक्षा उपायों पर विचार करते हुए, प्रांत के बाहर किसी भी स्थानांतरण से पहले एक प्रलेखित गोपनीयता प्रभाव आकलन की आवश्यकता होती है।

---

गोपनीयता प्रबंधन कार्यक्रम

ओपीसी दिशानिर्देश पीआईपीईडीए अनुपालन की नींव के रूप में एक व्यापक गोपनीयता प्रबंधन कार्यक्रम लागू करने की सलाह देते हैं:

1. गोपनीयता शासन:

• उचित प्राधिकारी और विशेषज्ञता वाला एक गोपनीयता अधिकारी नामित करें
• गोपनीयता नीतियों और प्रक्रियाओं को विकसित और कार्यान्वित करें
• स्पष्ट जवाबदेही के साथ एक गोपनीयता शासन संरचना बनाएं

2. जोखिम प्रबंधन:

• नए या संशोधित कार्यक्रमों, प्रणालियों और गतिविधियों के लिए गोपनीयता प्रभाव आकलन (पीआईए) का संचालन करें
• गोपनीयता जोखिमों के लिए जोखिम रजिस्टर बनाए रखें
• उत्पाद विकास और आईटी परिवर्तन प्रबंधन में गोपनीयता समीक्षा को एकीकृत करें

3. नीति ढाँचा:

• गोपनीयता नीति (सार्वजनिक-सामना)
• डेटा प्रतिधारण और निपटान नीति
• उल्लंघन प्रतिक्रिया प्रक्रिया
• तृतीय-पक्ष विक्रेता प्रबंधन नीति
• कर्मचारी गोपनीयता नीति

4. प्रशिक्षण और जागरूकता:

• सभी कर्मचारियों के लिए वार्षिक गोपनीयता प्रशिक्षण
• उन लोगों के लिए भूमिका-विशिष्ट प्रशिक्षण जो नियमित रूप से व्यक्तिगत जानकारी संभालते हैं
• ऑनबोर्डिंग पर नए कर्मचारियों के लिए प्रशिक्षण

5. निगरानी और सत्यापन:

• नियमित गोपनीयता ऑडिट
• पीआईए की आवधिक समीक्षा और अद्यतन
• गोपनीयता नीतियों की वार्षिक समीक्षा
• ओपीसी, सीएआई और प्रांतीय गोपनीयता आयुक्तों से नियामक मार्गदर्शन की निगरानी

---

ओपीसी प्रवर्तन और शिकायत प्रक्रिया

ओपीसी (कनाडा के गोपनीयता आयुक्त का कार्यालय) मुख्य रूप से पीआईपीईडीए के तहत एक लोकपाल के रूप में कार्य करता है - यह शिकायतों की जांच करता है और सिफारिशें करता है, लेकिन सीधे जुर्माना नहीं लगा सकता है। ओपीसी की सिफारिशों का अनुपालन वर्तमान पीआईपीईडीए के तहत कानूनी रूप से बाध्य नहीं है, हालांकि ओपीसी अपने निष्कर्षों को लागू करने वाले अदालती आदेश के लिए संघीय न्यायालय में आवेदन कर सकता है।

शिकायत प्रक्रिया:

1. व्यक्ति संगठन को शिकायत प्रस्तुत करता है (अनुशंसित पहला कदम)
2. व्यक्ति ओपीसी को शिकायत प्रस्तुत करता है (किसी पूर्व संगठन से संपर्क की आवश्यकता नहीं है)
3. ओपीसी शीघ्र समाधान का प्रयास करती है; असफल होने पर, औपचारिक जांच के लिए आगे बढ़ता है
4. ओपीसी निष्कर्ष और सिफारिशें प्रकाशित करता है
5. ओपीसी अनुपालन की आवश्यकता वाले आदेशों के लिए संघीय न्यायालय में आवेदन कर सकती है

अदालत के आदेशों में प्रथाओं को बदलने, जानकारी को नष्ट करने, नोटिस प्रकाशित करने और हर्जाने का भुगतान करने की आवश्यकताएं शामिल हो सकती हैं।

प्रस्तावित सीपीपीए के तहत ओपीसी की शक्तियों का विस्तार: बिल सी-27 ओपीसी को सीधे प्रशासनिक मौद्रिक दंड लगाने की शक्ति देगा, जिसे गोपनीयता न्यायाधिकरण के माध्यम से लागू किया जा सकेगा। जुर्माना $25 मिलियन या वैश्विक राजस्व का 5% तक पहुंच जाएगा।

---

पाइपडा/कानून 25 अनुपालन चेकलिस्ट

• संघीय प्रयोज्यता निर्धारित (PIPEDA बनाम प्रांतीय कानून क्षेत्र और प्रांत पर आधारित)
• क्यूबेक कानून 25 की प्रयोज्यता का मूल्यांकन किया गया (क्यूबेक में व्यवसाय के दौरान पीआई एकत्र करने वाला उद्यम)
• गोपनीयता अधिकारी नामित और सशक्त
• गोपनीयता नीति प्रकाशित, अद्यतन, सुलभ
• संग्रह उतना ही सीमित है जितना उचित रूप से आवश्यक है (सिद्धांत 4)
• सहमति प्राप्त की गई: संवेदनशील जानकारी के लिए व्यक्त करें; असंवेदनशील के लिए सार्थक निहित है
• सहमति रिकॉर्ड बनाए रखा गया
• नई परियोजनाओं के लिए आयोजित पीआईए (कानून 25 अनिवार्य; ओपीसी पीआईपीईडीए के लिए सिफारिश करता है)
• सीमा पार स्थानांतरण मूल्यांकन पूरा हुआ (कानून 25: प्रांत से बाहर स्थानांतरण से पहले पीआईए आवश्यक)
• प्रोसेसर/विक्रेता अनुबंध में तुलनीय सुरक्षा आवश्यकताएं शामिल हैं
• डेटा प्रतिधारण अनुसूची को प्रलेखित और कार्यान्वित किया गया
• प्रवेश अनुरोध प्रक्रिया प्रलेखित (30 दिन की प्रतिक्रिया)
• सुधार अनुरोध प्रक्रिया प्रलेखित
• उल्लंघन प्रतिक्रिया प्रक्रिया प्रलेखित (ओपीसी रिपोर्ट + व्यक्तिगत अधिसूचना)
• उल्लंघन रिकॉर्ड बनाए रखा गया (24 महीने)
• क्यूबेक संचालन के लिए सीएआई उल्लंघन अधिसूचना प्रक्रिया (72 घंटे की प्रारंभिक)
• कर्मचारी प्रशिक्षण पूरा हुआ और दस्तावेजीकरण किया गया
• स्वचालित निर्णय लेने की पारदर्शिता लागू की गई (कानून 25)

---

अक्सर पूछे जाने वाले प्रश्न

क्या PIPEDA कनाडाई ग्राहकों को सेवा देने वाली मेरी अमेरिकी कंपनी पर लागू होता है?

PIPEDA उन संगठनों पर लागू होता है जो व्यावसायिक गतिविधियों के दौरान व्यक्तिगत जानकारी एकत्र करते हैं, उपयोग करते हैं या प्रकट करते हैं। यदि आपकी अमेरिकी कंपनी की वेबसाइट कनाडाई उपभोक्ताओं को सेवा प्रदान करती है और उनकी व्यक्तिगत जानकारी एकत्र करती है, तो संभवतः PIPEDA लागू होता है - विशेष रूप से उस जानकारी के संग्रह और उपयोग के लिए। क्यूबेक का कानून 25 "क्यूबेक में उद्यम चलाने वाले" उद्यमों पर लागू होता है, जिसमें व्यावसायिक इरादे से क्यूबेक निवासियों के लिए सुलभ वेबसाइट बनाए रखना शामिल हो सकता है। ओपीसी ने कनाडाई निवासियों के डेटा से जुड़े पीआईपीईडीए उल्लंघनों के लिए गैर-कनाडाई कंपनियों की जांच की है।

PIPEDA और क्यूबेक कानून 25 के बीच क्या अंतर है?

क्यूबेक कानून 25 आम तौर पर कई प्रमुख क्षेत्रों में पीआईपीईडीए से अधिक सख्त है: (1) सहमति: कानून 25 को अधिकांश प्रसंस्करण के लिए स्पष्ट, विशिष्ट सहमति की आवश्यकता होती है - पीआईपीईडीए गैर-संवेदनशील जानकारी के लिए निहित सहमति की अनुमति देता है; (2) सीमा पार स्थानांतरण: कानून 25 को प्रांत के बाहर स्थानांतरण से पहले औपचारिक गोपनीयता प्रभाव आकलन की आवश्यकता होती है; PIPEDA को जवाबदेही की आवश्यकता है लेकिन कोई निर्धारित मूल्यांकन प्रारूप नहीं है; (3) अधिकार: कानून 25 में डी-इंडेक्सिंग, पोर्टेबिलिटी और प्रोफाइलिंग पर आपत्ति का अधिकार शामिल है - पीआईपीईडीए के अधिकार अधिक सीमित हैं; (4) प्रवर्तन: कानून 25 सीएआई को 25 मिलियन डॉलर या विश्वव्यापी टर्नओवर का 4% तक जुर्माना लगाने की अनुमति देता है; PIPEDA की OPC केवल न्यायालय के आदेश मांग सकती है; (5) गोपनीयता प्रभाव आकलन: नई परियोजनाओं के लिए कानून 25 के तहत अनिवार्य; PIPEDA के तहत अनुशंसित लेकिन अनिवार्य नहीं।

ईमेल मार्केटिंग के लिए PIPEDA के तहत सहमति कैसे काम करती है?

ईमेल मार्केटिंग के लिए PIPEDA की सहमति भी कनाडा के एंटी-स्पैम कानून (CASL) द्वारा शासित होती है, जो PIPEDA के साथ संचालित होती है। CASL को वाणिज्यिक इलेक्ट्रॉनिक संदेश भेजने से पहले व्यक्त सहमति की आवश्यकता होती है जब तक कि कोई छूट लागू न हो (मौजूदा व्यावसायिक संबंध, पूर्व व्यक्त सहमति)। व्यक्त सहमति को ऑप्ट-इन किया जाना चाहिए (पहले से चेक किए गए बॉक्स नहीं)। एक मौजूदा व्यावसायिक संबंध लेनदेन के बाद 2 साल के लिए CASL के तहत निहित सहमति बनाता है। PIPEDA सिद्धांत 3 के तहत, विपणन के लिए सार्थक सहमति से उद्देश्य की स्पष्ट पहचान होनी चाहिए। वाणिज्यिक ईमेल के लिए CASL की विशिष्ट आवश्यकताएं संघर्ष के मामलों में PIPEDA को ओवरराइड करती हैं - CASL का अनुपालन आम तौर पर ईमेल विपणन उद्देश्यों के लिए PIPEDA की सहमति आवश्यकताओं को पूरा करता है।

गोपनीयता प्रभाव आकलन (पीआईए) की आवश्यकता कब होती है?

पीआईपीईडीए के तहत, ओपीसी द्वारा नए कार्यक्रमों या प्रणालियों के लिए पीआईए की दृढ़ता से अनुशंसा की जाती है जिसमें व्यक्तिगत जानकारी शामिल होगी - लेकिन कानूनी रूप से अनिवार्य नहीं है। क्यूबेक कानून 25 के तहत, व्यक्तिगत जानकारी के संग्रह, संचार या उपयोग से संबंधित किसी भी परियोजना को पूरा करने से पहले और क्यूबेक के बाहर व्यक्तिगत जानकारी संचार करने से पहले पीआईए अनिवार्य हैं। सीएआई पीआईए दिशानिर्देश जारी करता है और टेम्पलेट प्रदान करता है। संघीय सरकारी विभागों को भी कनाडाई लोगों की व्यक्तिगत जानकारी का उपयोग करके कार्यक्रमों के लिए पीआईए आयोजित करने की आवश्यकता होती है। व्यावहारिक रूप से, पीआईए को महत्वपूर्ण व्यक्तिगत डेटा संग्रह से जुड़े किसी भी नए उत्पाद, फीचर या व्यावसायिक प्रक्रिया के लिए मानक अभ्यास होना चाहिए।

क्यूबेक कानून 25 के तहत "भूल जाने का अधिकार" क्या है?

क्यूबेक कानून 25 में डी-इंडेक्सिंग का अधिकार शामिल है - जिसे कभी-कभी भूल जाने का अधिकार या विस्मरण का अधिकार भी कहा जाता है। व्यक्ति अनुरोध कर सकते हैं कि कोई उद्यम व्यक्तिगत जानकारी का प्रसार बंद कर दे या उनके नाम से जुड़े किसी भी हाइपरलिंक को डी-इंडेक्स कर दे यदि प्रसार: उन्हें नुकसान पहुंचाता है और कानून का उल्लंघन करता है; अत्यधिक है, प्रासंगिक नहीं है, या गैरकानूनी संग्रह का विषय रहा है; अब उन उद्देश्यों के लिए प्रासंगिक नहीं है जिनके लिए इसे एकत्र किया गया था; या व्यक्ति नाबालिग है. यह जीडीपीआर के मिटाने के अधिकार से अलग है - यह विशेष रूप से हाइपरलिंक्स के डी-इंडेक्सिंग को लक्षित करता है, न कि केवल अंतर्निहित डेटा को हटाने का।

---

अगले चरण

कनाडा का गोपनीयता परिदृश्य बाहर से दिखने की तुलना में अधिक जटिल है - संघीय PIPEDA, क्यूबेक कानून 25, प्रांतीय PIPA कानून और प्रस्तावित CPPA सुधार एक स्तरित अनुपालन वातावरण बनाते हैं। कनाडाई संचालन या उपयोगकर्ताओं वाले डिजिटल व्यवसायों के लिए, एक व्यापक गोपनीयता कार्यक्रम बनाना जो आधार रेखा के रूप में PIPEDA और उच्चतम बार के रूप में कानून 25 को संतुष्ट करता है, सबसे कुशल दृष्टिकोण है।

ECOSIRE की टीम व्यवसायों को कनाडाई गोपनीयता आवश्यकताओं को नेविगेट करने, गोपनीयता-दर-डिज़ाइन डिजिटल प्लेटफ़ॉर्म डिज़ाइन करने और सहमति प्रबंधन प्रणालियों को लागू करने में मदद करती है जो PIPEDA और क्यूबेक कानून 25 दोनों आवश्यकताओं को पूरा करती हैं।

और जानें: ECOSIRE सेवाएँ

अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। कनाडाई गोपनीयता कानून संघीय कानून और क्यूबेक कानून 25 कार्यान्वयन के माध्यम से विकसित हो रहा है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य कनाडाई कानूनी सलाहकार से परामर्श लें।