हमारी Compliance & Regulation श्रृंखला का हिस्सा
पूरी गाइड पढ़ेंनिजी क्षेत्र के संगठनों के लिए कनाडा का गोपनीयता ढांचा - व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम (PIPEDA) पर निर्मित - 2004 में कानून लागू होने के बाद से अपने सबसे महत्वपूर्ण परिवर्तन से गुजर रहा है। जबकि PIPEDA संघीय मानक बना हुआ है, क्यूबेक का कानून 25 (निजी क्षेत्र में व्यक्तिगत जानकारी की सुरक्षा का सम्मान करने वाला अधिनियम, जैसा कि 2021-2023 में सुधार किया गया है) ने कनाडाई प्रांतीय गोपनीयता और प्रस्तावित संघीय उपभोक्ता गोपनीयता संरक्षण अधिनियम (CPPA) के लिए एक नया मानक स्थापित किया है। अंततः PIPEDA को एक मजबूत, GDPR-प्रभावित ढांचे से बदल देगा।
कनाडा के मौजूदा स्तरित गोपनीयता ढांचे को समझना - संघीय पीआईपीईडीए, क्यूबेक, अल्बर्टा और ब्रिटिश कोलंबिया में प्रांतीय कानून और क्यूबेक कानून 25 - कनाडाई उपभोक्ताओं में संचालित या उनकी सेवा करने वाले किसी भी डिजिटल व्यवसाय के लिए आवश्यक है।
मुख्य बातें
- PIPEDA निजी क्षेत्र के संगठनों पर लागू होता है जो व्यावसायिक गतिविधियों के दौरान व्यक्तिगत जानकारी एकत्र करते हैं, उपयोग करते हैं या प्रकट करते हैं - बाह्य क्षेत्रीय अनुप्रयोग के साथ
- क्यूबेक कानून 25 (सितंबर 2023 से पूरी तरह से प्रभावी) पीआईपीईडीए से अधिक सख्त है और इसमें जीडीपीआर जैसी सहमति, अधिकार और मूल्यांकन आवश्यकताएं हैं।
- दस उचित सूचना सिद्धांत (CAN/CSA मानक Q830 से) PIPEDA अनुपालन को नियंत्रित करते हैं
- पीआईपीईडीए की अनिवार्य उल्लंघन अधिसूचना के लिए ओपीसी को रिपोर्ट करना और "महत्वपूर्ण नुकसान का वास्तविक जोखिम" निर्धारित करने के 72 घंटों के भीतर व्यक्तियों को सूचित करना आवश्यक है।
- उपभोक्ता गोपनीयता संरक्षण अधिनियम (सीपीपीए) अंततः पीआईपीईडीए की जगह लेगा - अधिनियमन के लिए निगरानी
- गोपनीयता आयुक्त का कार्यालय (ओपीसी) जांच कर सकता है और अनुपालन की सिफारिश कर सकता है लेकिन सीधे जुर्माना नहीं लगा सकता - बिल सी-27 इसे बदलने का प्रस्ताव करता है
- क्यूबेक का कमीशन डी'एक्सेस ए एल'इन्फॉर्मेशन (सीएआई) कानून 25 के तहत विश्वव्यापी टर्नओवर का 4% या $25 मिलियन सीएडी तक जुर्माना लगा सकता है।
- PIPEDA के तहत सहमति सार्थक होनी चाहिए, लेकिन PIPEDA उचित संदर्भों में व्यक्त और निहित सहमति दोनों को मान्यता देता है
कैनेडियन गोपनीयता फ़्रेमवर्क अवलोकन
संघीय: पिपेडा
PIPEDA (व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम, 2004) कनाडा का संघीय निजी क्षेत्र गोपनीयता कानून है। यह इस पर लागू होता है:
- संघ द्वारा विनियमित उद्योगों (बैंकिंग, दूरसंचार, अंतरप्रांतीय परिवहन, प्रसारण) में निजी क्षेत्र के संगठन - प्रांत की परवाह किए बिना
- सभी प्रांतों में बिना किसी समान प्रांतीय कानून के निजी क्षेत्र के संगठन - वाणिज्यिक गतिविधियों के दौरान एकत्रित, उपयोग या खुलासा की गई जानकारी के लिए
छूट प्राप्त क्षेत्राधिकार: क्यूबेक, अल्बर्टा और ब्रिटिश कोलंबिया में प्रांतीय कानून काफी हद तक PIPEDA के समान माने जाते हैं। इन प्रांतों में, PIPEDA अभी भी संघ द्वारा विनियमित गतिविधियों और क्रॉस-प्रांतीय/सीमा पार प्रवाह पर लागू होता है। क्यूबेक का कानून 25 शीर्ष पर और आवश्यकताएं जोड़ता है।
प्रांतीय कानून
क्यूबेक (निजी क्षेत्र में व्यक्तिगत जानकारी के संरक्षण का सम्मान करने वाला अधिनियम, कानून 25): क्यूबेक में एक उद्यम चलाने के दौरान व्यक्तिगत जानकारी एकत्र करने वाले उद्यमों पर लागू होता है। कानून 25 सुधार (चरण 2022-2023 में लागू) ने पीआईपीईडीए से परे क्यूबेक की आवश्यकताओं को काफी मजबूत किया।
अलबर्टा (व्यक्तिगत सूचना संरक्षण अधिनियम - PIPA): काफी हद तक PIPEDA के समान; अल्बर्टा-आधारित निजी संगठनों की प्रांतीय गतिविधियों पर लागू होता है।
ब्रिटिश कोलंबिया (व्यक्तिगत सूचना संरक्षण अधिनियम - पीआईपीए बीसी): समान ढांचा; बीसी-आधारित निजी संगठनों की प्रांतीय गतिविधियों पर लागू होता है।
ओंटारियो, मैनिटोबा, सस्केचेवान: कोई समान प्रांतीय कानून नहीं - PIPEDA लागू होता है।
प्रस्तावित उपभोक्ता गोपनीयता संरक्षण अधिनियम (सीपीपीए)
बिल सी-27 (प्रस्तावित कानून, जून 2022 में पेश किया गया) पीआईपीईडीए की जगह उपभोक्ता गोपनीयता संरक्षण अधिनियम लागू करेगा:
- जीडीपीआर-प्रभावित सहमति आवश्यकताएँ
- एल्गोरिथम पारदर्शिता और स्वचालित निर्णय लेने के अधिकार
- डेटा गतिशीलता अधिकार
- उल्लेखनीय रूप से बढ़ाया गया जुर्माना: वैश्विक राजस्व का 3% तक या $10 मिलियन CAD (टियर 1); वैश्विक राजस्व का 5% या $25 मिलियन CAD (टियर 2)
- ओपीसी के निर्णयों पर निर्णय लेने के लिए एक स्वतंत्र गोपनीयता न्यायाधिकरण
- स्पष्ट बच्चों की गोपनीयता सुरक्षा
2026 की शुरुआत तक, सीपीपीए अधिनियमित नहीं किया गया है। व्यवसायों को विधायी प्रगति की निगरानी करनी चाहिए और अनुपालन कार्यक्रमों को डिजाइन करना चाहिए जिन्हें अधिनियमित होने पर नए ढांचे में अनुकूलित किया जा सके।
PIPEDA के दस निष्पक्ष सूचना सिद्धांत
PIPEDA व्यक्तिगत जानकारी की सुरक्षा के लिए कनाडाई मानक एसोसिएशन के मॉडल कोड (CAN/CSA Q830) के दस सिद्धांतों पर बनाया गया है:
| सिद्धांत | मुख्य आवश्यकता |
|---|---|
| 1. जवाबदेही | एक गोपनीयता अधिकारी नामित करें; गोपनीयता नीतियों को लागू करना और बनाए रखना; तीसरे पक्ष की जवाबदेही |
| 2. उद्देश्यों की पहचान | संग्रह से पहले या संग्रह के दौरान उद्देश्यों की पहचान करें; दस्तावेज़ उद्देश्य |
| 3. सहमति | सार्थक सहमति प्राप्त करें; उद्देश्यों को स्पष्ट रूप से निर्दिष्ट करें |
| 4. संग्रह सीमित करना | केवल वही एकत्र करें जो पहचाने गए उद्देश्यों (डेटा न्यूनीकरण) के लिए आवश्यक है |
| 5. उपयोग, प्रकटीकरण और प्रतिधारण को सीमित करना | केवल पहचाने गए उद्देश्यों के लिए उपयोग/प्रकटीकरण करें; केवल तभी तक बनाए रखें जब तक आवश्यक हो |
| 6. सटीकता | सटीक, पूर्ण और अद्यतन जानकारी बनाए रखें |
| 7. सुरक्षा उपाय | संवेदनशीलता के अनुरूप सुरक्षा उपायों से सुरक्षा करें |
| 8. खुलापन | नीतियों और प्रथाओं के बारे में पारदर्शी रहें; गोपनीयता नीति सार्वजनिक रूप से उपलब्ध है |
| 9. व्यक्तिगत पहुंच | अनुरोध पर, व्यक्तियों को सूचित करें कि आपके पास कौन सी व्यक्तिगत जानकारी है; 30 दिनों के भीतर पहुंच प्रदान करें |
| 10. चुनौतीपूर्ण अनुपालन | व्यक्ति अनुपालन को चुनौती दे सकते हैं; शिकायतों का तुरंत समाधान करें |
PIPEDA के तहत सहमति: सिद्धांत 3 के लिए सार्थक सहमति की आवश्यकता है - व्यक्तियों को यह समझना चाहिए कि वे किस चीज़ के लिए सहमति दे रहे हैं। सहमति व्यक्त (स्पष्ट, लिखित, या मौखिक) या निहित हो सकती है (जहां उद्देश्य स्पष्ट है और व्यक्ति उचित रूप से इसकी अपेक्षा करेगा)। निहित सहमति कम संवेदनशील जानकारी और कम जोखिम वाले उपयोग के लिए उपयुक्त है। संवेदनशील जानकारी और ऐसे उपयोगों के लिए जिनकी व्यक्तियों को अपेक्षा नहीं होगी, व्यक्त सहमति आवश्यक है।
ओपीसी ने लगातार पाया है कि "बंडल सहमति" (कई उद्देश्यों के लिए एक टिक बॉक्स) और "डीम्ड सहमति" (घने नियमों और शर्तों में डेटा प्रथाओं को दफनाना) सार्थक सहमति नहीं है।
क्यूबेक कानून 25: मजबूत आवश्यकताएँ
क्यूबेक का कानून 25 (व्यक्तिगत जानकारी की सुरक्षा के संबंध में विधायी प्रावधानों को आधुनिक बनाने का अधिनियम) कनाडा में सबसे महत्वपूर्ण प्रांतीय गोपनीयता सुधार का प्रतिनिधित्व करता है। तीन चरणों में लागू किया गया:
चरण 1 (सितंबर 2022): अनिवार्य उल्लंघन अधिसूचना, शासन आवश्यकताएँ, गोपनीयता अधिकारी पदनाम, प्रतिधारण अनुसूची नीतियां
चरण 2 (सितंबर 2023): गोपनीयता प्रभाव आकलन, नए व्यक्तिगत अधिकार (पहुंच, सुधार, पोर्टेबिलिटी, प्रोफाइलिंग पर आपत्ति), सहमति मानक, स्वचालित निर्णय लेने के लिए पारदर्शिता आवश्यकताएं
चरण 3 (सितंबर 2023, जारी): डेटा पोर्टेबिलिटी अधिकार, डी-इंडेक्सिंग अधिकार (विस्मरण का अधिकार), सीमा पार स्थानांतरण सुरक्षा प्रभाव आकलन
मुख्य कानून PIPEDA से परे 25 आवश्यकताएँ
गोपनीयता प्रभाव आकलन (पीआईए): व्यक्तिगत जानकारी के संग्रह, उपयोग या संचार से संबंधित किसी भी परियोजना से पहले आवश्यक। उच्च जोखिम वाली परियोजनाओं के लिए पीआईए को सीएआई को सूचित किया जाना चाहिए।
सीमा पार स्थानांतरण पीआईए: क्यूबेक के बाहर व्यक्तिगत जानकारी संचारित करने से पहले, उद्यमों को सीएआई द्वारा निर्धारित मानदंडों का उपयोग करके गोपनीयता सुरक्षा प्रभाव मूल्यांकन करना होगा। इसमें जानकारी की संवेदनशीलता, गंतव्य क्षेत्राधिकार में कानूनी सुरक्षा और जानकारी की सुरक्षा के लिए लागू किए जाने वाले उपायों पर विचार किया जाना चाहिए।
डी-इंडेक्सिंग का अधिकार (विस्मरण का अधिकार): व्यक्ति अपने नाम से जुड़े हाइपरलिंक को हटाने का अनुरोध कर सकते हैं जो व्यक्तिगत जानकारी प्रसारित करते हैं: जानकारी अब सटीक नहीं है, व्यक्ति नाबालिग है, या इंडेक्सिंग के लिए कोई वैध औचित्य नहीं है।
स्वचालित निर्णय लेने की पारदर्शिता: जहां विशेष रूप से व्यक्तिगत जानकारी के स्वचालित प्रसंस्करण पर आधारित निर्णय कानूनी या महत्वपूर्ण प्रभावों के साथ किया जाता है, व्यक्तियों को सूचित किया जाना चाहिए और उन्हें मानव समीक्षा का अनुरोध करने का अधिकार होना चाहिए।
सहमति मानक: सहमति स्पष्ट, स्वतंत्र रूप से दी गई और सूचित होनी चाहिए। प्रत्येक विशिष्ट उद्देश्य के लिए इसका अनुरोध किया जाना चाहिए। क्यूबेक के लिए आम तौर पर अंतर्निहित सहमति पर्याप्त नहीं है - स्पष्ट, सकारात्मक कार्रवाई की आवश्यकता है।
जुर्माना: सीएआई कानून 25 के गंभीर उल्लंघन के लिए 25 मिलियन डॉलर सीएडी या विश्वव्यापी टर्नओवर का 4% (जो भी अधिक हो) का जुर्माना लगा सकता है। सीएआई ने प्रवर्तन शुरू कर दिया है और अपना पहला दंड निर्णय जारी किया है।
PIPEDA के तहत अनिवार्य उल्लंघन रिपोर्टिंग
PIPEDA के तहत अनिवार्य उल्लंघन रिपोर्टिंग आवश्यकताएं (1 नवंबर, 2018 से लागू) तब लागू होती हैं जब सुरक्षा सुरक्षा उपायों का उल्लंघन व्यक्तियों के लिए "महत्वपूर्ण नुकसान का वास्तविक जोखिम" पैदा करता है।
महत्वपूर्ण नुकसान में शामिल हैं: शारीरिक नुकसान, अपमान, प्रतिष्ठा को नुकसान, रोजगार, व्यवसाय या पेशेवर अवसरों की हानि, वित्तीय नुकसान, पहचान की चोरी, क्रेडिट रिकॉर्ड पर नकारात्मक प्रभाव, और रिश्तों को नुकसान या विश्वास की हानि।
रिपोर्टिंग आवश्यकताएँ:
-
ओपीसी को रिपोर्ट करें: महत्वपूर्ण नुकसान के वास्तविक जोखिम का निर्धारण करने के बाद जितनी जल्दी संभव हो। ओपीसी के डेटा ब्रीच रिपोर्टिंग फॉर्म का उपयोग करें।
-
प्रभावित व्यक्तियों को सूचित करें: ओपीसी रिपोर्टिंग के समय, या जितनी जल्दी संभव हो। अधिसूचना अवश्य होनी चाहिए:
- उल्लंघन की परिस्थितियों का वर्णन करें
- पहचानें कि कौन सी व्यक्तिगत जानकारी शामिल थी
- उल्लंघन को संबोधित करने के लिए उठाए गए कदमों का वर्णन करें
- बताएं कि प्रभावित व्यक्ति अपनी सुरक्षा के लिए क्या कर सकते हैं
- संगठन के लिए संपर्क जानकारी प्रदान करें
- अन्य संगठनों को सूचित करें: जहां कोई अन्य संगठन नुकसान के जोखिम को कम करने में सक्षम हो सकता है (उदाहरण के लिए, क्रेडिट ब्यूरो, कानून प्रवर्तन), उन्हें सूचित करें।
रिकॉर्ड-कीपिंग: 24 महीनों तक सभी उल्लंघनों (चाहे महत्वपूर्ण नुकसान का वास्तविक जोखिम निर्धारित किया गया हो या नहीं) का रिकॉर्ड बनाए रखें। ओपीसी इन अभिलेखों का अनुरोध कर सकता है।
क्यूबेक कानून 25 उल्लंघन आवश्यकताएँ: क्यूबेक की अपनी अधिसूचना आवश्यकताएँ क्यूबेक में उद्यमों पर लागू होती हैं। कानून 25 में सीएआई के निर्धारित फॉर्म का उपयोग करते हुए नुकसान का जोखिम पेश करने वाली व्यक्तिगत जानकारी से जुड़ी गोपनीयता घटना के बारे में जागरूक होने के 72 घंटों के भीतर सीएआई को अधिसूचना की आवश्यकता होती है।
डेटा स्थानांतरण और जवाबदेही
PIPEDA का जवाबदेही सिद्धांत (सिद्धांत 1) तीसरे पक्ष के डेटा प्रबंधन तक फैला हुआ है: संगठन अपनी हिरासत में मौजूद व्यक्तिगत जानकारी के लिए जिम्मेदार हैं, जिसमें प्रसंस्करण के लिए तीसरे पक्ष को हस्तांतरित किया जाना भी शामिल है। प्रोसेसरों के साथ अनुबंधों को तुलनीय सुरक्षा प्रदान करनी चाहिए।
सीमा पार स्थानांतरण: PIPEDA सीमा पार डेटा स्थानांतरण पर प्रतिबंध नहीं लगाता है, लेकिन विदेशों में स्थानांतरित होने पर संगठनों को अपनी व्यक्तिगत जानकारी के लिए जवाबदेह होने की आवश्यकता होती है। तुलनीय सुरक्षा सुनिश्चित करने के लिए संविदात्मक समझौतों का उपयोग करें। ओपीसी के दिशानिर्देश उन देशों का दस्तावेजीकरण करने की सलाह देते हैं जिनमें डेटा स्थानांतरित किया जा सकता है।
क्यूबेक कानून 25 सीमा-पार प्रतिबंध: क्यूबेक एक सख्त सीमा-पार स्थानांतरण ढांचा लागू करता है, जिसमें गंतव्य सुरक्षा, सूचना की संवेदनशीलता और लागू सुरक्षा उपायों पर विचार करते हुए, प्रांत के बाहर किसी भी स्थानांतरण से पहले एक प्रलेखित गोपनीयता प्रभाव आकलन की आवश्यकता होती है।
गोपनीयता प्रबंधन कार्यक्रम
ओपीसी दिशानिर्देश पीआईपीईडीए अनुपालन की नींव के रूप में एक व्यापक गोपनीयता प्रबंधन कार्यक्रम लागू करने की सलाह देते हैं:
1. गोपनीयता शासन:
- उचित प्राधिकारी और विशेषज्ञता वाला एक गोपनीयता अधिकारी नामित करें
- गोपनीयता नीतियों और प्रक्रियाओं को विकसित और कार्यान्वित करें
- स्पष्ट जवाबदेही के साथ एक गोपनीयता शासन संरचना बनाएं
2. जोखिम प्रबंधन:
- नए या संशोधित कार्यक्रमों, प्रणालियों और गतिविधियों के लिए गोपनीयता प्रभाव आकलन (पीआईए) का संचालन करें
- गोपनीयता जोखिमों के लिए जोखिम रजिस्टर बनाए रखें
- उत्पाद विकास और आईटी परिवर्तन प्रबंधन में गोपनीयता समीक्षा को एकीकृत करें
3. नीति ढाँचा:
- गोपनीयता नीति (सार्वजनिक-सामना)
- डेटा प्रतिधारण और निपटान नीति
- उल्लंघन प्रतिक्रिया प्रक्रिया
- तृतीय-पक्ष विक्रेता प्रबंधन नीति
- कर्मचारी गोपनीयता नीति
4. प्रशिक्षण और जागरूकता:
- सभी कर्मचारियों के लिए वार्षिक गोपनीयता प्रशिक्षण
- उन लोगों के लिए भूमिका-विशिष्ट प्रशिक्षण जो नियमित रूप से व्यक्तिगत जानकारी संभालते हैं
- ऑनबोर्डिंग पर नए कर्मचारियों के लिए प्रशिक्षण
5. निगरानी और सत्यापन:
- नियमित गोपनीयता ऑडिट
- पीआईए की आवधिक समीक्षा और अद्यतन
- गोपनीयता नीतियों की वार्षिक समीक्षा
- ओपीसी, सीएआई और प्रांतीय गोपनीयता आयुक्तों से नियामक मार्गदर्शन की निगरानी
ओपीसी प्रवर्तन और शिकायत प्रक्रिया
ओपीसी (कनाडा के गोपनीयता आयुक्त का कार्यालय) मुख्य रूप से पीआईपीईडीए के तहत एक लोकपाल के रूप में कार्य करता है - यह शिकायतों की जांच करता है और सिफारिशें करता है, लेकिन सीधे जुर्माना नहीं लगा सकता है। ओपीसी की सिफारिशों का अनुपालन वर्तमान पीआईपीईडीए के तहत कानूनी रूप से बाध्य नहीं है, हालांकि ओपीसी अपने निष्कर्षों को लागू करने वाले अदालती आदेश के लिए संघीय न्यायालय में आवेदन कर सकता है।
शिकायत प्रक्रिया:
- व्यक्ति संगठन को शिकायत प्रस्तुत करता है (अनुशंसित पहला कदम)
- व्यक्ति ओपीसी को शिकायत प्रस्तुत करता है (किसी पूर्व संगठन से संपर्क की आवश्यकता नहीं है)
- ओपीसी शीघ्र समाधान का प्रयास करती है; असफल होने पर, औपचारिक जांच के लिए आगे बढ़ता है
- ओपीसी निष्कर्ष और सिफारिशें प्रकाशित करता है
- ओपीसी अनुपालन की आवश्यकता वाले आदेशों के लिए संघीय न्यायालय में आवेदन कर सकती है
अदालत के आदेशों में प्रथाओं को बदलने, जानकारी को नष्ट करने, नोटिस प्रकाशित करने और हर्जाने का भुगतान करने की आवश्यकताएं शामिल हो सकती हैं।
प्रस्तावित सीपीपीए के तहत ओपीसी की शक्तियों का विस्तार: बिल सी-27 ओपीसी को सीधे प्रशासनिक मौद्रिक दंड लगाने की शक्ति देगा, जिसे गोपनीयता न्यायाधिकरण के माध्यम से लागू किया जा सकेगा। जुर्माना $25 मिलियन या वैश्विक राजस्व का 5% तक पहुंच जाएगा।
पाइपडा/कानून 25 अनुपालन चेकलिस्ट
- संघीय प्रयोज्यता निर्धारित (PIPEDA बनाम प्रांतीय कानून क्षेत्र और प्रांत पर आधारित)
- क्यूबेक कानून 25 की प्रयोज्यता का मूल्यांकन किया गया (क्यूबेक में व्यवसाय के दौरान पीआई एकत्र करने वाला उद्यम)
- गोपनीयता अधिकारी नामित और सशक्त
- गोपनीयता नीति प्रकाशित, अद्यतन, सुलभ
- संग्रह उतना ही सीमित है जितना उचित रूप से आवश्यक है (सिद्धांत 4)
- सहमति प्राप्त की गई: संवेदनशील जानकारी के लिए व्यक्त करें; असंवेदनशील के लिए सार्थक निहित है
- सहमति रिकॉर्ड बनाए रखा गया
- नई परियोजनाओं के लिए आयोजित पीआईए (कानून 25 अनिवार्य; ओपीसी पीआईपीईडीए के लिए सिफारिश करता है)
- सीमा पार स्थानांतरण मूल्यांकन पूरा हुआ (कानून 25: प्रांत से बाहर स्थानांतरण से पहले पीआईए आवश्यक)
- प्रोसेसर/विक्रेता अनुबंध में तुलनीय सुरक्षा आवश्यकताएं शामिल हैं
- डेटा प्रतिधारण अनुसूची को प्रलेखित और कार्यान्वित किया गया
- प्रवेश अनुरोध प्रक्रिया प्रलेखित (30 दिन की प्रतिक्रिया)
- सुधार अनुरोध प्रक्रिया प्रलेखित
- उल्लंघन प्रतिक्रिया प्रक्रिया प्रलेखित (ओपीसी रिपोर्ट + व्यक्तिगत अधिसूचना)
- उल्लंघन रिकॉर्ड बनाए रखा गया (24 महीने)
- क्यूबेक संचालन के लिए सीएआई उल्लंघन अधिसूचना प्रक्रिया (72 घंटे की प्रारंभिक)
- कर्मचारी प्रशिक्षण पूरा हुआ और दस्तावेजीकरण किया गया
- स्वचालित निर्णय लेने की पारदर्शिता लागू की गई (कानून 25)
अक्सर पूछे जाने वाले प्रश्न
क्या PIPEDA कनाडाई ग्राहकों को सेवा देने वाली मेरी अमेरिकी कंपनी पर लागू होता है?
PIPEDA उन संगठनों पर लागू होता है जो व्यावसायिक गतिविधियों के दौरान व्यक्तिगत जानकारी एकत्र करते हैं, उपयोग करते हैं या प्रकट करते हैं। यदि आपकी अमेरिकी कंपनी की वेबसाइट कनाडाई उपभोक्ताओं को सेवा प्रदान करती है और उनकी व्यक्तिगत जानकारी एकत्र करती है, तो संभवतः PIPEDA लागू होता है - विशेष रूप से उस जानकारी के संग्रह और उपयोग के लिए। क्यूबेक का कानून 25 "क्यूबेक में उद्यम चलाने वाले" उद्यमों पर लागू होता है, जिसमें व्यावसायिक इरादे से क्यूबेक निवासियों के लिए सुलभ वेबसाइट बनाए रखना शामिल हो सकता है। ओपीसी ने कनाडाई निवासियों के डेटा से जुड़े पीआईपीईडीए उल्लंघनों के लिए गैर-कनाडाई कंपनियों की जांच की है।
PIPEDA और क्यूबेक कानून 25 के बीच क्या अंतर है?
क्यूबेक कानून 25 आम तौर पर कई प्रमुख क्षेत्रों में पीआईपीईडीए से अधिक सख्त है: (1) सहमति: कानून 25 को अधिकांश प्रसंस्करण के लिए स्पष्ट, विशिष्ट सहमति की आवश्यकता होती है - पीआईपीईडीए गैर-संवेदनशील जानकारी के लिए निहित सहमति की अनुमति देता है; (2) सीमा पार स्थानांतरण: कानून 25 को प्रांत के बाहर स्थानांतरण से पहले औपचारिक गोपनीयता प्रभाव आकलन की आवश्यकता होती है; PIPEDA को जवाबदेही की आवश्यकता है लेकिन कोई निर्धारित मूल्यांकन प्रारूप नहीं है; (3) अधिकार: कानून 25 में डी-इंडेक्सिंग, पोर्टेबिलिटी और प्रोफाइलिंग पर आपत्ति का अधिकार शामिल है - पीआईपीईडीए के अधिकार अधिक सीमित हैं; (4) प्रवर्तन: कानून 25 सीएआई को 25 मिलियन डॉलर या विश्वव्यापी टर्नओवर का 4% तक जुर्माना लगाने की अनुमति देता है; PIPEDA की OPC केवल न्यायालय के आदेश मांग सकती है; (5) गोपनीयता प्रभाव आकलन: नई परियोजनाओं के लिए कानून 25 के तहत अनिवार्य; PIPEDA के तहत अनुशंसित लेकिन अनिवार्य नहीं।
ईमेल मार्केटिंग के लिए PIPEDA के तहत सहमति कैसे काम करती है?
ईमेल मार्केटिंग के लिए PIPEDA की सहमति भी कनाडा के एंटी-स्पैम कानून (CASL) द्वारा शासित होती है, जो PIPEDA के साथ संचालित होती है। CASL को वाणिज्यिक इलेक्ट्रॉनिक संदेश भेजने से पहले व्यक्त सहमति की आवश्यकता होती है जब तक कि कोई छूट लागू न हो (मौजूदा व्यावसायिक संबंध, पूर्व व्यक्त सहमति)। व्यक्त सहमति को ऑप्ट-इन किया जाना चाहिए (पहले से चेक किए गए बॉक्स नहीं)। एक मौजूदा व्यावसायिक संबंध लेनदेन के बाद 2 साल के लिए CASL के तहत निहित सहमति बनाता है। PIPEDA सिद्धांत 3 के तहत, विपणन के लिए सार्थक सहमति से उद्देश्य की स्पष्ट पहचान होनी चाहिए। वाणिज्यिक ईमेल के लिए CASL की विशिष्ट आवश्यकताएं संघर्ष के मामलों में PIPEDA को ओवरराइड करती हैं - CASL का अनुपालन आम तौर पर ईमेल विपणन उद्देश्यों के लिए PIPEDA की सहमति आवश्यकताओं को पूरा करता है।
गोपनीयता प्रभाव आकलन (पीआईए) की आवश्यकता कब होती है?
पीआईपीईडीए के तहत, ओपीसी द्वारा नए कार्यक्रमों या प्रणालियों के लिए पीआईए की दृढ़ता से अनुशंसा की जाती है जिसमें व्यक्तिगत जानकारी शामिल होगी - लेकिन कानूनी रूप से अनिवार्य नहीं है। क्यूबेक कानून 25 के तहत, व्यक्तिगत जानकारी के संग्रह, संचार या उपयोग से संबंधित किसी भी परियोजना को पूरा करने से पहले और क्यूबेक के बाहर व्यक्तिगत जानकारी संचार करने से पहले पीआईए अनिवार्य हैं। सीएआई पीआईए दिशानिर्देश जारी करता है और टेम्पलेट प्रदान करता है। संघीय सरकारी विभागों को भी कनाडाई लोगों की व्यक्तिगत जानकारी का उपयोग करके कार्यक्रमों के लिए पीआईए आयोजित करने की आवश्यकता होती है। व्यावहारिक रूप से, पीआईए को महत्वपूर्ण व्यक्तिगत डेटा संग्रह से जुड़े किसी भी नए उत्पाद, फीचर या व्यावसायिक प्रक्रिया के लिए मानक अभ्यास होना चाहिए।
क्यूबेक कानून 25 के तहत "भूल जाने का अधिकार" क्या है?
क्यूबेक कानून 25 में डी-इंडेक्सिंग का अधिकार शामिल है - जिसे कभी-कभी भूल जाने का अधिकार या विस्मरण का अधिकार भी कहा जाता है। व्यक्ति अनुरोध कर सकते हैं कि कोई उद्यम व्यक्तिगत जानकारी का प्रसार बंद कर दे या उनके नाम से जुड़े किसी भी हाइपरलिंक को डी-इंडेक्स कर दे यदि प्रसार: उन्हें नुकसान पहुंचाता है और कानून का उल्लंघन करता है; अत्यधिक है, प्रासंगिक नहीं है, या गैरकानूनी संग्रह का विषय रहा है; अब उन उद्देश्यों के लिए प्रासंगिक नहीं है जिनके लिए इसे एकत्र किया गया था; या व्यक्ति नाबालिग है. यह जीडीपीआर के मिटाने के अधिकार से अलग है - यह विशेष रूप से हाइपरलिंक्स के डी-इंडेक्सिंग को लक्षित करता है, न कि केवल अंतर्निहित डेटा को हटाने का।
अगले चरण
कनाडा का गोपनीयता परिदृश्य बाहर से दिखने की तुलना में अधिक जटिल है - संघीय PIPEDA, क्यूबेक कानून 25, प्रांतीय PIPA कानून और प्रस्तावित CPPA सुधार एक स्तरित अनुपालन वातावरण बनाते हैं। कनाडाई संचालन या उपयोगकर्ताओं वाले डिजिटल व्यवसायों के लिए, एक व्यापक गोपनीयता कार्यक्रम बनाना जो आधार रेखा के रूप में PIPEDA और उच्चतम बार के रूप में कानून 25 को संतुष्ट करता है, सबसे कुशल दृष्टिकोण है।
ECOSIRE की टीम व्यवसायों को कनाडाई गोपनीयता आवश्यकताओं को नेविगेट करने, गोपनीयता-दर-डिज़ाइन डिजिटल प्लेटफ़ॉर्म डिज़ाइन करने और सहमति प्रबंधन प्रणालियों को लागू करने में मदद करती है जो PIPEDA और क्यूबेक कानून 25 दोनों आवश्यकताओं को पूरा करती हैं।
और जानें: ECOSIRE सेवाएँ
अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। कनाडाई गोपनीयता कानून संघीय कानून और क्यूबेक कानून 25 कार्यान्वयन के माध्यम से विकसित हो रहा है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य कनाडाई कानूनी सलाहकार से परामर्श लें।
लेखक
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
ECOSIRE के साथ अपना व्यवसाय बढ़ाएं
ईआरपी, ईकॉमर्स, एआई, एनालिटिक्स और ऑटोमेशन में एंटरप्राइज समाधान।
संबंधित लेख
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
Compliance & Regulation से और अधिक
BMF Programmablaufplan Lohnsteuer 2026: Implementing Germany's Official Wage-Tax Calculation (XML, API, Odoo)
Developer guide to the BMF Programmablaufplan Lohnsteuer 2026: what the PAP is, the XML pseudocode format, official test service, and mapping to Odoo payroll.
ERP for Clothing & Fashion Brands: Size-Color Matrix, Seasonal Planning, and Compliance (2026 Guide)
How fashion and clothing brands choose an ERP in 2026: size-color matrix variants, seasonal planning, GoBD and DATEV compliance, vendor comparison, and costs.
ERPNext HR & Payroll in 2026: Setup, Salary Structures, and Multi-Country Compliance
Step-by-step ERPNext HR and payroll setup for 2026: HRMS app install, salary structures, payroll entry runs, income tax slabs, multi-country compliance.
GoHighLevel A2P 10DLC Compliance in 2026: Registration, Fees, and Fixing Blocked SMS
Complete GoHighLevel A2P 10DLC guide for 2026: brand and campaign registration steps, carrier fees, common rejection reasons, and how to fix filtered SMS.
GxP Validation for ERP Systems: What Your 2026 Validation RFP Must Require (CSV, IQ/OQ/PQ, Audit Trails)
What a GxP ERP validation RFP must require in 2026: CSV and CSA scope, 21 CFR Part 11, EU Annex 11, IQ/OQ/PQ deliverables, audit trails, and GAMP 5 risk.
OpenClaw Security Model, Data Residency, SOC 2 and ISO 27001
OpenClaw security architecture: tenant isolation, encryption, secret management, audit logs, data residency, SOC 2, ISO 27001, GDPR, HIPAA fitness.