ہماری Compliance & Regulation سیریز کا حصہ
مکمل گائیڈ پڑھیںآسٹریلیا پرائیویسی ایکٹ: بزنس کمپلائنس اور ڈیٹا ہینڈلنگ
آسٹریلیا کا پرائیویسی ایکٹ 1988 (Cth) آسٹریلیائیوں کی ذاتی معلومات کی حفاظت کرنے والا بنیادی وفاقی رازداری کا قانون ہے۔ پرائیویسی قانون سازی ترمیم (آن لائن پرائیویسی اور دیگر اقدامات کو بڑھانا) ایکٹ 2021 اور پرائیویسی اینڈ دیگر قانون سازی ترمیمی ایکٹ 2024 کے ذریعے نمایاں طور پر مضبوط کیا گیا ہے، آسٹریلیا کا رازداری کا فریم ورک آسٹریلیائی پرائیویسی 02 پرائیویسی میں متعارف ہونے کے بعد سے اپنی سب سے اہم اصلاحات سے گزر رہا ہے۔
2024 کی اصلاحات نے پرائیویسی کے سنگین حملوں کے لیے ایک قانونی ٹارٹ متعارف کرایا، جرمانے میں نمایاں اضافہ کیا (اب $50 ملین AUD فی خلاف ورزی)، آسٹریلوی انفارمیشن کمشنر (OAIC) کے نفاذ کے اختیارات کو بڑھایا، اور ڈیٹا کو برقرار رکھنے، براہ راست مارکیٹنگ، اور الگورمک شفافیت کے لیے نئی ذمہ داریوں کو شامل کیا۔ موجودہ اے پی پی فریم ورک اور نئی اصلاحات دونوں کو سمجھنا آسٹریلیا میں کام کرنے والی کسی بھی تنظیم کے لیے ضروری ہے۔
اہم ٹیک ویز
- پرائیویسی ایکٹ کا اطلاق آسٹریلوی سرکاری ایجنسیوں اور $3 ملین سے زیادہ سالانہ کاروبار کے ساتھ نجی شعبے کی تنظیموں پر ہوتا ہے (اصلاحات کے ساتھ کم حد)
- تیرہ آسٹریلوی رازداری کے اصول (APPs) ذاتی معلومات کو جمع کرنے، استعمال کرنے، افشاء کرنے، کوالٹی، سیکورٹی، رسائی، اور اصلاح کو کنٹرول کرتے ہیں
- قابل اطلاع ڈیٹا بریچز (NDB) اسکیم کے لیے OAIC اور متاثرہ افراد کو اہلیت کی خلاف ورزی کے 30 دنوں کے اندر اطلاع کی ضرورت ہوتی ہے۔
- 2024 کی اصلاحات متعارف کرائی گئیں: ایک قانونی رازداری کا ٹارٹ، زیادہ جرمانے ($50M AUD)، افراد کے لیے براہ راست کارروائی کے حقوق، اور بچوں کی رازداری کی نئی ذمہ داریاں
- حساس معلومات (صحت، نسلی اصل، بایومیٹرکس، مذہب، جنسی رجحان وغیرہ) کو جمع کرنے اور استعمال کرنے کے لیے واضح رضامندی درکار ہوتی ہے۔
- سرحد پار افشاء کی پابندیاں ذاتی معلومات کے بیرون ملک وصول کنندگان کے لیے جوابدہی کی ضرورت ہوتی ہیں
- OAIC آڈٹ کر سکتا ہے، شکایات قبول کر سکتا ہے، اور سنگین معاملات کو دیوانی جرمانے کی کارروائی کے لیے وفاقی عدالت میں بھیج سکتا ہے۔
- اصلاحات بچوں کے لیے دی جانے والی خدمات کے لیے بچوں کا آن لائن پرائیویسی کوڈ متعارف کرائیں گی۔
جنہیں پرائیویسی ایکٹ کی تعمیل کرنی چاہیے۔
کوریج کی حد
پرائیویسی ایکٹ ان پر لاگو ہوتا ہے:
آسٹریلیا کی سرکاری ایجنسیاں: دولت مشترکہ کے تمام سرکاری محکمے اور ایجنسیاں، نیز کچھ ریاستی/علاقائی ایجنسیاں بعض سیاق و سباق میں۔
اے پی پی اداروں (نجی شعبہ): کسی بھی مالی سال میں سالانہ ٹرن اوور $3 ملین سے زیادہ والی تنظیمیں۔ یہ حد اصلاحی بحث کا موضوع رہی ہے - مزید کاروباروں کا احاطہ کرنے کے لیے اس حد کو کم کرنے یا ختم کرنے کی تجاویز جاری ہیں۔
مخصوص سرگرمیوں والے چھوٹے کاروبار: ٹرن اوور سے قطع نظر، پرائیویسی ایکٹ لاگو ہوتا ہے اگر تنظیم:
- صحت کی خدمت فراہم کرنے والا ہے (بشمول نجی پریکٹس)
- ذاتی معلومات میں تجارت
- آسٹریلوی حکومت کے لیے ایک معاہدہ شدہ سروس فراہم کنندہ ہے۔
- پرائیویسی ایکٹ میں آپٹ ان کیا ہے۔
- رہائشی کرایہ داری کا ڈیٹا بیس چلاتا ہے۔
- ایکٹ کے تحت آنے والے ادارے سے متعلق ہے۔
ملکی دائرہ کار: پرائیویسی ایکٹ آسٹریلیائی تنظیموں اور ان کی بیرون ملک سرگرمیوں پر لاگو ہوتا ہے۔ آسٹریلوی موجودگی کے بغیر آف شور ادارے جو آسٹریلوی لنک کے ذریعے آسٹریلوی باشندوں کی ذاتی معلومات اکٹھا کرتے ہیں (مثلاً، آسٹریلوی سرور، آسٹریلوی کاروباری تعلقات) بھی ایکٹ کے تابع ہو سکتے ہیں۔
کلیدی چھوٹ
- ملازمین کے ریکارڈ (نجی شعبے کی تنظیموں کے لیے ان کے روزگار کے تعلق سے)
- صحافت اور میڈیا (صحافی سرگرمیوں کے حوالے سے رجسٹرڈ نیوز آرگنائزیشنز)
- آسٹریلیا کے شہریوں/مقامیوں کے ذریعہ آسٹریلیا سے باہر کیے گئے اعمال (پیچیدہ استثنیٰ)
- کاروبار کی حد سے نیچے چھوٹے کاروبار (اوپر بیان کیے گئے مستثنیات کے ساتھ)
آسٹریلیائی رازداری کے اصول (APPs)
تیرہ اے پی پی رازداری کی تعمیل کے لیے بنیادی فریم ورک تشکیل دیتے ہیں:
اے پی پی 1 - کھلا اور شفاف انتظام: واضح طور پر بیان کردہ، تازہ ترین رازداری کی پالیسی رکھیں۔ اسے درخواست پر مفت میں دستیاب کریں۔
اے پی پی 2 — گمنامی اور تخلص: جہاں جائز اور قابل عمل ہو، لوگوں کو آپ کے ساتھ گمنامی یا تخلص استعمال کرنے کا اختیار دیں۔
اے پی پی 3 — طلب کردہ ذاتی معلومات کا مجموعہ: صرف ذاتی معلومات اکٹھا کریں جو آپ کے افعال کے لیے معقول حد تک ضروری ہے۔ حساس معلومات صرف رضامندی سے جمع کریں (یا مخصوص حالات میں)۔ فرد سے براہ راست جمع کریں جہاں معقول حد تک قابل عمل ہو۔
اے پی پی 4 — غیر منقولہ ذاتی معلومات سے نمٹنا: اگر آپ کو ذاتی معلومات موصول ہوتی ہیں جو آپ نے طلب نہیں کی تھی اور آپ کو اے پی پی 3 کے تحت جمع کرنے کی اجازت نہیں دی گئی ہو گی، تو جتنی جلدی ممکن ہو اسے تباہ یا غیر شناخت کریں۔
اے پی پی 5 - جمع کرنے کی اطلاع: جمع کرنے سے پہلے یا اس سے پہلے (یا جتنی جلدی ممکن ہو)، افراد کو مطلع کرنے کے لیے معقول اقدامات کریں: آپ کون ہیں، آپ سے کیسے رابطہ کریں، کیا مجموعہ قانون کے مطابق ضروری ہے، جمع کرنے کے مقاصد، معلومات فراہم نہ کرنے کے نتائج، اور کون معلومات حاصل کرسکتا ہے، اور اس تک رسائی/ درست کرنے کا طریقہ۔
اے پی پی 6 — ذاتی معلومات کا استعمال یا انکشاف: صرف ذاتی معلومات کو جمع کرنے کے بنیادی مقصد کے لیے استعمال کریں یا ظاہر کریں، ایک متعلقہ ثانوی مقصد جس کی فرد معقول طور پر توقع کرے گا، رضامندی کے ساتھ، یا کسی مخصوص APP 6 کی رعایت کے تحت (قانون، قانون نافذ کرنے والے، صحت/حفاظت کے ذریعے درکار)۔
اے پی پی 7 — براہ راست مارکیٹنگ: براہ راست مارکیٹنگ کے لیے ذاتی معلومات کا استعمال یا انکشاف نہیں کرنا چاہیے جب تک کہ شرائط پوری نہ ہو جائیں (فرد کی طرف سے فراہم کردہ، حساس معلومات کے لیے رضامندی، فراہم کردہ ان سبسکرائب میکانزم)۔ افراد آپٹ آؤٹ کرنے کی درخواست کر سکتے ہیں۔
اے پی پی 8 - سرحد پار انکشاف: بیرون ملک مقیم وصول کنندگان کو ذاتی معلومات کا انکشاف کرنے سے پہلے، یہ یقینی بنانے کے لیے معقول اقدامات کریں کہ وصول کنندہ اے پی پی کی خلاف ورزی نہ کرے۔ آپ بیرون ملک مقیم وصول کنندہ کی ہینڈلنگ کے لیے جوابدہ رہیں گے۔ انکشاف کی اجازت ہے اگر انفرادی رضامندی ہو یا وصول کنندہ کسی ایسے ملک میں ہو جس میں کافی حد تک ملتے جلتے قوانین ہوں۔
اے پی پی 9 — حکومت سے متعلقہ شناخت کنندگان کو اپنانا، استعمال، یا افشاء کرنا: نجی شعبے کے مقاصد کے لیے سرکاری شناخت کنندگان (مثلاً، میڈیکیئر نمبر، سینٹرلنک حوالہ) کے استعمال پر پابندیاں۔
اے پی پی 10 — ذاتی معلومات کا معیار: اس بات کو یقینی بنانے کے لیے معقول اقدامات کریں کہ ذاتی معلومات درست، تازہ ترین، اور جمع کرنے، استعمال کرنے یا افشاء کرنے سے پہلے مکمل ہوں۔
اے پی پی 11 — ذاتی معلومات کی حفاظت: ذاتی معلومات کو غلط استعمال، مداخلت، نقصان، اور غیر مجاز رسائی، ترمیم یا انکشاف سے بچانے کے لیے معقول اقدامات کریں۔ جب مزید ضرورت نہ ہو تو ذاتی معلومات کو تباہ یا غیر شناخت کریں۔
اے پی پی 12 - ذاتی معلومات تک رسائی: افراد کو 30 دنوں کے اندر ان کی ذاتی معلومات تک رسائی فراہم کریں، درخواست کردہ فارمیٹ میں جہاں مناسب ہو۔ مستثنیات میں شامل ہیں: جہاں رسائی سے سنگین خطرہ ہو، دوسروں کی رازداری پر غیر معقول اثر پڑے، رسائی غیر قانونی ہو گی۔
اے پی پی 13 — ذاتی معلومات کی تصحیح: درخواست کرنے پر (یا آپ کی اپنی پہل پر)، غلط، نامکمل، پرانی، غیر متعلقہ، یا گمراہ کن ذاتی معلومات کو درست کریں۔ اگر آپ درست کرنے سے انکار کرتے ہیں، تو فرد کو مطلع کریں اور انہیں اپنے ریکارڈ کے ساتھ تصحیح کا بیان منسلک کرنے کی اجازت دیں۔
حساس معلومات
پرائیویسی ایکٹ حساس معلومات کو ذاتی معلومات کے ذیلی سیٹ کے طور پر بیان کرتا ہے جس کے لیے تحفظ کے اعلیٰ معیار کی ضرورت ہوتی ہے۔ حساس معلومات میں شامل ہیں:
- صحت کی معلومات
- جینیاتی معلومات
- شناختی مقاصد کے لیے بائیو میٹرک معلومات
- نسلی یا نسلی اصل
- سیاسی نظریات
- مذہبی یا فلسفیانہ عقائد
- جنسی رجحان یا طرز عمل
- ٹریڈ یونین کی رکنیت
- مجرمانہ ریکارڈ کی معلومات
- حکومت کی طرف سے جاری کردہ شناختی تفصیلات
اے پی پی 3.3: تنظیمیں صرف حساس معلومات اکٹھی کر سکتی ہیں اگر:
- فرد نے رضامندی دی ہے، اور تنظیم کے کاموں کے لیے جمع کرنا معقول حد تک ضروری ہے۔ یا
- آٹھ مخصوص مستثنیات میں سے ایک لاگو ہوتا ہے (قانون کی طرف سے ضروری، سنگین خطرے سے بچنا وغیرہ)
صحت کی معلومات: اضافی تحفظات حاصل کرتا ہے — صحت کی خدمات فراہم کرنے والے ٹرن اوور سے قطع نظر احاطہ کیے جاتے ہیں، اور OAIC کی طرف سے جاری کردہ صحت کی رازداری کی مخصوص ہدایات لاگو ہوتی ہیں۔
قابل اطلاع ڈیٹا بریچز (NDB) اسکیم
NDB اسکیم (پرائیویسی ایکٹ کا حصہ IIIC) APP اداروں سے OAIC اور متاثرہ افراد کو اہل ڈیٹا کی خلاف ورزیوں کے بارے میں مطلع کرنے کی ضرورت ہے۔
اہل ڈیٹا کی خلاف ورزی کیا ہے؟
ایک اہل ڈیٹا کی خلاف ورزی اس وقت ہوتی ہے جب:
- کسی ادارے کے پاس موجود ذاتی معلومات کی غیر مجاز رسائی، افشاء، یا نقصان ہوتا ہے؛ اور
- ایک معقول شخص یہ نتیجہ اخذ کرے گا کہ رسائی/انکشاف/نقصان کے نتیجے میں ان افراد میں سے کسی کو بھی شدید نقصان پہنچنے کا امکان ہے جن سے معلومات کا تعلق ہے
سنگین نقصان کا اندازہ: معلومات کی قسم، حساسیت، آیا سیکیورٹی ٹیکنالوجی کا اطلاق کیا گیا، کس نے اس تک رسائی حاصل کی/حاصل کی، اور ممکنہ نقصان (مالی، جسمانی، نفسیاتی، شہرت) پر غور کریں۔
نوٹیفکیشن ٹائم لائن
| مرحلہ | ضرورت | ٹائم لائن |
|---|---|---|
| ممکنہ خلاف ورزی سے آگاہ ہوں | طرز عمل کی تشخیص | جیسے ہی معقول طور پر قابل عمل |
| مکمل تشخیص | اس بات کا تعین کریں کہ آیا اہل خلاف ورزی | آگاہ ہونے کے 30 دن بعد نہیں |
| OAIC کو مطلع کریں | OAIC پورٹل کے ذریعے NDB رپورٹ جمع کروائیں | معقول عقیدہ بنانے کے بعد جتنی جلدی ممکن ہو |
| متاثرہ افراد کو مطلع کریں | براہ راست اطلاع (یا عوامی اطلاع اگر ناقابل عمل ہے) | OAIC نوٹیفکیشن کے ساتھ ہی |
ہنگامی ڈیٹا کی خلاف ورزی — جہاں سنگین نقصان ہونے کا امکان ہے اور اداروں کو فوری طور پر اس کا علم ہوتا ہے — جلد از جلد OAIC اور افراد کو مطلع کیا جانا چاہیے، 30 دن کا انتظار نہ کریں۔
OAIC اطلاعی مواد:
- ہستی کا نام اور رابطے کی تفصیلات
- خلاف ورزی کی تفصیل
- متاثرہ افراد کے زمرے اور تخمینی تعداد
- اس میں شامل معلومات (ریکارڈ کی قسم اور تخمینی تعداد)
- جواب میں اٹھائے گئے اقدامات یا منصوبہ بندی
2024 پرائیویسی ایکٹ میں اصلاحات
رازداری اور دیگر قانون سازی ترمیمی ایکٹ 2024 (نومبر 2024 کو نافذ) نے اہم تبدیلیاں متعارف کرائی ہیں۔ کلیدی اصلاحات میں شامل ہیں:
پرائیویسی یلغار کے لیے قانونی ٹارٹ
ایک نئی قانونی کارروائی کا سبب افراد کو OAIC کی شمولیت کی ضرورت کے بغیر، وفاقی عدالت میں رازداری کے سنگین حملوں کے لیے تنظیموں کے خلاف براہ راست مقدمہ کرنے کی اجازت دیتا ہے۔ علاج میں نقصانات (بشمول بڑھے ہوئے اور مثالی نقصانات)، حکم امتناعی، اور منافع کا حساب شامل ہیں۔ کارروائی کا یہ نجی حق کاروباری اداروں کے لیے قانونی چارہ جوئی کے خطرے کو نمایاں طور پر بڑھاتا ہے۔
حملے کی دو قسمیں: (1) خلوت پر دخل اندازی - نجی معاملات میں جسمانی یا الیکٹرانک مداخلت؛ (2) نجی معلومات کا غلط استعمال — نجی معلومات کو جمع کرنا، استعمال کرنا یا ظاہر کرنا۔
حملہ صرف اس صورت میں قابل عمل ہے جب کوئی معقول شخص اسے انتہائی ناگوار سمجھے، اور مدعی کو حالات میں رازداری کی معقول توقع ہو۔
زیادہ سزائیں
سنگین یا بار بار رازداری کی مداخلت کے لیے زیادہ سے زیادہ سول جرمانہ $50 ملین AUD فی خلاف ورزی ($2.22 ملین سے زیادہ) تک بڑھ گیا ہے۔ عدالتیں خلاف ورزی سے حاصل ہونے والے فائدہ کے تین گنا، یا خلاف ورزی کی مدت کے دوران آسٹریلیائی ٹرن اوور کے 30% کی بنیاد پر جرمانے کا حکم بھی دے سکتی ہیں - جو بھی زیادہ ہو۔ یہ آسٹریلیا کے مسابقتی قانون میں سب سے زیادہ درجے کی سزاؤں سے ملتے ہیں۔
توسیع شدہ OAIC پاورز
OAIC کے پاس اب ہے:
- بغیر کسی شکایت کے خود تحریک تحقیقات کرنے کا اختیار
- کم سنگین خلاف ورزیوں کے لیے خلاف ورزی کے نوٹس کے اختیارات
- ابتدائی دریافت اور عبوری حکم امتناعی حاصل کرنے کے اختیارات
- بیرون ملک پرائیویسی حکام کے ساتھ معلومات کا اشتراک کرنے کی اہلیت
بچوں کا آن لائن پرائیویسی کوڈ
2024 کا ایکٹ بچوں کے آن لائن پرائیویسی کوڈ کے لیے ایک فریم ورک بناتا ہے — بچوں کے لیے ہدایت کردہ آن لائن خدمات کے لیے لازمی تقاضے (وہ جو 18 سال سے کم عمر کے ہیں جو سروس کے لیے متعلقہ عمر میں ہیں)۔ کوڈ ڈیٹا کو کم کرنے، والدین کے لیے شفافیت، اور بچوں کے لیے موزوں ڈیزائن پر مخصوص ذمہ داریاں عائد کرے گا۔ ترقی جاری ہے؛ تنظیموں کو OAIC کی پیش رفت کی نگرانی کرنی چاہیے۔
براہ راست مارکیٹنگ کی اصلاحات
براہ راست مارکیٹنگ پر بہتر پابندیاں: افراد اپنی ذاتی معلومات کی بنیاد پر ٹارگٹڈ ایڈورٹائزنگ سے آپٹ آؤٹ کرسکتے ہیں، بشمول ٹارگٹڈ ایڈورٹائزنگ کے مقاصد کے لیے پروفائلنگ۔
خودکار فیصلہ سازی کی شفافیت
ذاتی معلومات کا استعمال کرتے ہوئے اہم خودکار فیصلوں کے بارے میں شفافیت کے نئے تقاضے — تنظیموں کو افراد پر اہم اثرات کے ساتھ خودکار فیصلوں کی منطق کی وضاحت کرنے کے قابل ہونا چاہیے۔
سرحد پار انکشاف (اے پی پی 8)
APP 8 سب سے زیادہ غلط فہمی میں سے ایک ہے۔ جب آپ بیرون ملک مقیم وصول کنندگان کو ذاتی معلومات ظاہر کرتے ہیں:
پہلے سے طے شدہ اصول: آپ کو یہ یقینی بنانے کے لیے معقول اقدامات کرنے چاہئیں کہ بیرون ملک مقیم وصول کنندہ اس معلومات کے حوالے سے APP کی خلاف ورزی نہ کرے۔ آپ جوابدہ رہتے ہیں بیرون ملک وصول کنندہ کی ہینڈلنگ کے لیے۔
** رضامندی کی رعایت**: اگر آپ نے فرد کو واضح طور پر مطلع کیا ہے کہ آپ بیرون ملک وصول کنندگان کے ساتھ ان کی معلومات کا اشتراک کر سکتے ہیں اور یہ کہ آپ بیرون ملک وصول کنندہ کی ہینڈلنگ — اور انفرادی رضامندی کے لیے جوابدہ نہیں ہو سکتے ہیں تو آپ جوابدہ رہے بغیر سرحدوں کے پار انکشاف کر سکتے ہیں۔
کافی استثنیٰ: افشاء کی اجازت ہے اگر OAIC نے اس بات کا تعین کیا ہو کہ بیرون ملک پرائیویسی کے تحفظات کافی حد تک ایک جیسے ہیں۔
کلاؤڈ اور ساس کے لیے عملی مضمرات:
- اگر آپ کا کلاؤڈ فراہم کرنے والا ڈیٹا آسٹریلیا سے باہر اسٹور کرتا ہے، تو APP 8 لاگو ہوتا ہے۔
- آپ صرف کلاؤڈ فراہم کنندہ کی شرائط کی طرف اشارہ نہیں کر سکتے ہیں - آپ کو مناسب اقدامات کرنے چاہئیں (معاہدے کے تحفظات، سیکورٹی کے جائزے)
- اگر ڈیٹا متعدد بین الاقوامی خطوں میں ذخیرہ کیا جاتا ہے، تو ہر مقام ایک ممکنہ انکشاف ہے۔
OAIC نفاذ اور شکایت کا عمل
شکایات کا راستہ:
- فرد تنظیم سے شکایت کرتا ہے (تنظیم کے پاس جواب دینے کے لیے 30 دن ہوتے ہیں)
- اگر حل نہ ہو یا ادارہ جواب دینے میں ناکام ہو جائے تو فرد OAIC سے شکایت کر سکتا ہے۔
- OAIC شکایت کو حل کرتا ہے۔ اگر حل نہ ہو تو OAIC تحقیقات کر سکتا ہے۔
- OAIC معاوضے کا آرڈر دینے سمیت ایک فیصلہ کر سکتا ہے۔
** دیوانی جرمانے کی کارروائی:**
- OAIC سنگین معاملات کو وفاقی عدالت میں بھیجتا ہے۔
- عدالت دیوانی جرمانے عائد کر سکتی ہے ($50 ملین تک)
- OAIC قابل نفاذ کاموں کو بھی قبول کر سکتا ہے۔
ریگولیٹری تحقیقات:
- OAIC اپنی حرکت کی تحقیقات شروع کر سکتا ہے۔
- اداروں کو معلومات فراہم کرنے، انٹرویو میں شرکت کرنے، دستاویزات تیار کرنے کی ضرورت ہو سکتی ہے۔
- آڈٹ کر سکتا ہے (منصوبہ بند یا غیر اعلانیہ)
قابل ذکر نفاذ کے اقدامات: OAIC نے بڑے کیسز کی پیروی کی ہے جن میں Uber ٹیکنالوجیز (NDB اسکیم کی خلاف ورزی)، RI ایڈوائس گروپ (ناکافی سیکیورٹی) اور آسٹریلیائی الیکشن کمیشن (APP 11 سیکیورٹی ناکامی) شامل ہیں۔ Optus ڈیٹا کی خلاف ورزی (2022، 9.8 ملین آسٹریلوی متاثر) اور Medibank کی خلاف ورزی (2022، 9.7 ملین صارفین) نے اہم ریگولیٹری اور قانون سازی کی طرف توجہ دلائی۔
آسٹریلیا پرائیویسی کمپلائنس چیک لسٹ
- پرائیویسی ایکٹ لاگو ہونے کی تصدیق ہوگئی (ٹرن اوور کی حد، مخصوص سرگرمیاں)
- رازداری کی پالیسی شائع، تازہ ترین، اور تمام ایپس کا احاطہ کرتی ہے۔
- APP 5 کی اطلاع جمع کرنے کے مقام پر فراہم کی گئی (تمام ڈیٹا کیپچر فارمز پر جمع کرنے کے نوٹس)
- حساس معلومات کی نشاندہی کی گئی — جمع کرنے کے لیے رضامندی حاصل کی گئی۔
- ڈیٹا کو کم سے کم کرنے کا جائزہ لیا گیا — صرف معقول حد تک ضروری معلومات جمع کرنا
- APP 6 ثانوی استعمال/ انکشاف کی تشخیص دستاویزی ہے۔
- براہ راست مارکیٹنگ آپٹ آؤٹ میکانزم نافذ کیا گیا (اے پی پی 7)
- بیرون ملک افشاء کی تشخیص مکمل - وصول کنندہ اے پی پی کی تعمیل کو یقینی بنانے کے لیے معقول اقدامات (اے پی پی 8)
- ڈیٹا کی حفاظت کے اقدامات نافذ اور دستاویزی (اے پی پی 11)
- ڈیٹا برقرار رکھنے اور تباہی/ شناخت سے پاک کرنے کی پالیسی نافذ کی گئی (اے پی پی 11.2)
- انفرادی رسائی اور اصلاحی طریقہ کار کو دستاویز کیا گیا (اے پی پی 12، 13)
- NDB ردعمل کا طریقہ کار دستاویزی اور جانچا گیا (30 دن کی تشخیص کی ٹائم لائن)
- OAIC کی خلاف ورزی نوٹیفکیشن ٹیمپلیٹ تیار
- بچوں کے ڈیٹا کے طریقوں کا جائزہ لیا گیا — بچوں کے آن لائن پرائیویسی کوڈ کی تیاری کریں۔
- خودکار فیصلہ سازی کی شفافیت کا جائزہ لیا گیا۔
- اے پی پی اور این ڈی بی اسکیم پر عملے کی تربیت مکمل ہوگئی
اکثر پوچھے گئے سوالات
کیا رازداری کا قانون میرے چھوٹے کاروبار پر لاگو ہوتا ہے؟
عام طور پر، پرائیویسی ایکٹ صرف نجی شعبے کی تنظیموں پر لاگو ہوتا ہے جن کا سالانہ کاروبار $3 ملین سے زیادہ ہے۔ تاہم، ٹرن اوور سے قطع نظر آپ کا احاطہ کیا جا سکتا ہے اگر آپ ہیلتھ سروس فراہم کرنے والے ہیں، ذاتی معلومات میں تجارت کرتے ہیں، ایک سرکاری ٹھیکیدار ہیں، رہائشی کرایہ داری ڈیٹا بیس چلاتے ہیں، یا کسی احاطہ شدہ ادارے سے متعلق ہیں۔ مزید برآں، ریاست/علاقے کے رازداری کے قوانین آپ کی کاروباری سرگرمیوں پر لاگو ہو سکتے ہیں — خاص طور پر کوئنز لینڈ، این ایس ڈبلیو، اور وکٹوریہ میں مخصوص شعبوں کے لیے۔
آسٹریلوی قانون کے تحت "حساس معلومات" کے طور پر کیا شمار ہوتا ہے؟
حساس معلومات ایک متعین زمرہ ہے جس میں صحت کی معلومات، جینیاتی معلومات، بائیو میٹرک معلومات (منفرد شناخت کے لیے)، نسلی یا نسلی اصل، سیاسی آراء، مذہبی یا فلسفیانہ عقائد، جنسی رجحان یا طرز عمل، ٹریڈ یونین کی رکنیت، اور مجرمانہ ریکارڈ کی معلومات شامل ہیں۔ حساس معلومات کو جمع کرنے کے لیے رضامندی کی ضرورت ہوتی ہے اور یہ آپ کے افعال کے لیے معقول حد تک ضروری ہونا چاہیے۔ صحت کی معلومات کو OAIC سے انتہائی جامع تحفظات اور اضافی رہنمائی ملتی ہے۔
NDB اسکیم کے تحت 30 دن کی تشخیص کی مدت کیا ہے؟
جب کسی تنظیم کو معلوم ہو جاتا ہے کہ ڈیٹا کی خلاف ورزی ہو سکتی ہے، تو اس کے پاس تشخیص کرنے اور اس بات کا تعین کرنے کے لیے 30 دن ہوتے ہیں کہ آیا یہ ایک اہل ڈیٹا کی خلاف ورزی ہے (جس کے نتیجے میں شدید نقصان پہنچنے کا امکان ہے)۔ اس 30 دن کی ونڈو کے دوران، تنظیموں کو اس بات کی تحقیقات کرنی چاہیے کہ کیا ہوا، کون سی معلومات شامل تھی، کون متاثر ہوا، اور کیا سنگین نقصان کا امکان ہے۔ اگر کسی اہل خلاف ورزی کی نشاندہی کی جاتی ہے تو، OAIC اور متاثرہ افراد کو اطلاع جلد از جلد پہنچنی چاہیے - اہل خلاف ورزی کا تعین کرنے کے بعد انتظار کی کوئی اضافی مدت نہیں ہے۔
آسٹریلیا میں AWS یا Azure استعمال کرتے وقت APP 8 کا اطلاق کیسے ہوتا ہے؟
اگر آپ AWS یا Azure سروسز استعمال کرتے ہیں جو مکمل طور پر آسٹریلوی ڈیٹا سینٹرز (AWS ap-southeast-2 Sydney, Azure Australia East) میں تعینات ہیں، تو ہو سکتا ہے آپ کو بیرون ملک انکشاف کا مسئلہ نہ ہو — ڈیٹا آسٹریلیا میں ہی رہتا ہے۔ اگر آپ عالمی انفراسٹرکچر کے ساتھ خدمات استعمال کرتے ہیں (مواد کی ترسیل کے نیٹ ورکس، عالمی نقل، بیرون ملک سے مدد تک رسائی)، تو ہو سکتا ہے کہ آپ بیرون ملک ڈیٹا کا انکشاف کر رہے ہوں۔ اپنے کلاؤڈ فراہم کنندہ کے ڈیٹا پروسیسنگ دستاویزات کا بغور جائزہ لیں۔ بہت سے فراہم کنندگان آسٹریلیائی ڈیٹا ریذیڈنسی گارنٹی اور ڈیٹا پروسیسنگ ایگریمنٹس پیش کرتے ہیں جس میں APP 8 کے تقاضوں کا احاطہ کرتے ہوئے اوورسیز ذیلی پروسیسنگ کے لیے کنٹریکٹ کے ذریعے تحفظات ہوتے ہیں۔
رازداری کے لیے نیا قانونی ٹارٹ کیا ہے اور یہ کاروبار کو کیسے متاثر کرتا ہے؟
قانونی ٹارٹ (2024 پرائیویسی ایکٹ کی اصلاحات کے ذریعے متعارف کرایا گیا) افراد کو OAIC سے گزرے بغیر پرائیویسی کے سنگین حملوں کے لیے وفاقی عدالت میں تنظیموں کے خلاف مقدمہ کرنے کا براہ راست حق فراہم کرتا ہے۔ دو قسمیں ہیں: خلوت میں دخل اندازی اور نجی معلومات کا غلط استعمال۔ ٹارٹ کا اطلاق ہوتا ہے جہاں ایک معقول شخص حملے کو انتہائی جارحانہ تصور کرے گا اور فرد کو رازداری کی معقول توقع تھی۔ ممکنہ علاج میں معاوضہ نقصانات، بڑھے ہوئے نقصانات، مثالی نقصانات، حکم امتناعی، اور منافع کا حساب شامل ہیں۔ اس سے ذاتی معلومات کو سنبھالنے والے کاروباروں کے لیے قانونی چارہ جوئی کا خطرہ نمایاں طور پر بڑھ جاتا ہے — طبقاتی کارروائیاں اب ڈیٹا کی سنگین خلاف ورزیوں کا ایک حقیقت پسندانہ امکان ہیں۔
اگلے اقدامات
آسٹریلیا کے پرائیویسی ایکٹ کی اصلاحات مضبوط نفاذ، اعلی سزاؤں، اور زیادہ انفرادی حقوق کی طرف ایک تبدیلی کا اشارہ دیتی ہیں - عالمی معیارات کے ساتھ زیادہ قریب سے ہم آہنگ۔ چاہے آپ پہلی بار تعمیل کا اندازہ لگا رہے ہوں یا 2024 کی اصلاحات کے حساب سے اپنے پروگرام کو اپ ڈیٹ کر رہے ہوں، ECOSIRE کی ٹیم آپ کے کاروبار کے لیے مناسب پرائیویسی کے لحاظ سے ڈیزائن سسٹمز اور تعمیل کے عمل کو ڈیزائن کرنے میں مدد کر سکتی ہے۔
شروع کریں: ECOSIRE سروسز
ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی مشورے پر مشتمل نہیں ہے۔ آسٹریلیائی رازداری کا قانون جاری اصلاحات سے مشروط ہے۔ اپنی تنظیم کے لیے مخصوص مشورے کے لیے مستند آسٹریلیائی قانونی مشیر سے رجوع کریں۔
تحریر
ECOSIRE Research and Development Team
ECOSIRE میں انٹرپرائز گریڈ ڈیجیٹل مصنوعات بنانا۔ Odoo انٹیگریشنز، ای کامرس آٹومیشن، اور AI سے چلنے والے کاروباری حل پر بصیرت شیئر کرنا۔
متعلقہ مضامین
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Compliance & Regulation سے مزید
Audit Preparation Checklist: Getting Your Books Ready
Complete audit preparation checklist covering financial statement readiness, supporting documentation, internal controls documentation, auditor PBC lists, and common audit findings.
Australian GST Guide for eCommerce Businesses
Complete Australian GST guide for eCommerce businesses covering ATO registration, the $75,000 threshold, low value imports, BAS lodgement, and GST for digital services.
Canadian HST/GST Guide: Province-by-Province
Complete Canadian HST/GST guide covering registration requirements, province-by-province rates, input tax credits, QST, place of supply rules, and CRA compliance.
Healthcare Accounting: Compliance and Financial Management
Complete guide to healthcare accounting covering HIPAA financial compliance, contractual adjustments, charity care, cost report preparation, and revenue cycle management.
India GST Compliance for Digital Businesses
Complete India GST compliance guide for digital businesses covering registration, GSTIN, rates, input tax credits, e-invoicing, GSTR returns, and TDS/TCS provisions.
Fund Accounting for Nonprofits: Best Practices
Master nonprofit fund accounting with net asset classifications, grant tracking, Form 990 preparation, functional expense allocation, and audit readiness best practices.