کینیڈا PIPEDA تعمیل: ڈیجیٹل کاروبار کے لیے پرائیویسی گائیڈ

نجی شعبے کی تنظیموں کے لیے کینیڈا کا پرائیویسی فریم ورک — جو پرسنل انفارمیشن پروٹیکشن اینڈ الیکٹرانک ڈاکومینٹس ایکٹ (PIPEDA) پر بنایا گیا ہے — 2004 میں اس قانون کے نافذ ہونے کے بعد سے اپنی سب سے اہم تبدیلی سے گزر رہا ہے۔ جب کہ PIPEDA وفاقی معیار برقرار ہے، کیوبیک کا قانون 25 (ایکٹ ریسپیکٹنگ دی پروٹیکشن آف دی پرسنل انفارمیشن ان پرسنل انفارمیشن کے تحفظ کے لیے۔ 2021–2023) نے کینیڈا کی صوبائی رازداری کے لیے ایک نیا معیار قائم کیا ہے، اور مجوزہ فیڈرل کنزیومر پرائیویسی پروٹیکشن ایکٹ (CPPA) بالآخر PIPEDA کو ایک مضبوط، GDPR سے متاثر فریم ورک سے بدل دے گا۔

کینیڈا کے موجودہ تہہ دار رازداری کے فریم ورک کو سمجھنا — وفاقی PIPEDA، کیوبیک، البرٹا، اور برٹش کولمبیا کے صوبائی قوانین، اور کیوبیک قانون 25 — کینیڈین صارفین میں کام کرنے والے یا خدمت کرنے والے کسی بھی ڈیجیٹل کاروبار کے لیے ضروری ہے۔

اہم ٹیک ویز

• PIPEDA پرائیویٹ سیکٹر کی تنظیموں پر لاگو ہوتا ہے جو تجارتی سرگرمیوں کے دوران ذاتی معلومات اکٹھا کرتی ہیں، استعمال کرتی ہیں یا افشاء کرتی ہیں — بیرونی درخواست کے ساتھ
• کیوبیک قانون 25 (مکمل طور پر موثر ستمبر 2023) PIPEDA سے زیادہ سخت ہے اور اس میں GDPR جیسی رضامندی، حقوق اور تشخیص کے تقاضے ہیں۔
• دس منصفانہ معلومات کے اصول (CAN/CSA سٹینڈرڈ Q830 سے) PIPEDA کی تعمیل کو کنٹرول کرتے ہیں
• PIPEDA کی لازمی خلاف ورزی کی اطلاع کے لیے OPC کو رپورٹ کرنے اور "اہم نقصان کے حقیقی خطرے" کا تعین کرنے کے 72 گھنٹوں کے اندر افراد کو اطلاع دینے کی ضرورت ہے۔
• کنزیومر پرائیویسی پروٹیکشن ایکٹ (CPPA) بالآخر PIPEDA کی جگہ لے لے گا - قانون سازی کے لیے مانیٹر
• پرائیویسی کمشنر کا دفتر (OPC) تعمیل کی تحقیقات اور سفارش کر سکتا ہے لیکن براہ راست جرمانہ نہیں لگا سکتا — بل C-27 اس کو تبدیل کرنے کی تجویز کرتا ہے۔
• Quebec's Commission d'acces à l'information (CAI) قانون 25 کے تحت دنیا بھر کے ٹرن اوور کے 4% یا $25 ملین CAD تک جرمانہ عائد کر سکتا ہے۔
• PIPEDA کے تحت رضامندی بامعنی ہونی چاہیے، لیکن PIPEDA مناسب سیاق و سباق میں واضح اور مضمر رضامندی کو تسلیم کرتا ہے

---

کینیڈین پرائیویسی فریم ورک کا جائزہ

وفاقی: PIPEDA

PIPEDA (ذاتی معلومات کے تحفظ اور الیکٹرانک دستاویزات کا ایکٹ، 2004) کینیڈا کا وفاقی نجی شعبے کا رازداری کا قانون ہے۔ اس پر لاگو ہوتا ہے:

• وفاقی طور پر ریگولیٹڈ صنعتوں میں نجی شعبے کی تنظیمیں (بینکنگ، ٹیلی کمیونیکیشن، بین الصوبائی نقل و حمل، نشریات) - صوبے سے قطع نظر
• تمام صوبوں میں پرائیویٹ سیکٹر کی تنظیمیں جن میں کافی حد تک یکساں صوبائی قانون سازی نہیں ہوتی — تجارتی سرگرمیوں کے دوران جمع کی گئی، استعمال کی گئی یا ظاہر کی گئی معلومات کے لیے

** مستثنیٰ دائرہ اختیار**: کیوبیک، البرٹا اور برٹش کولمبیا کے صوبائی قوانین ہیں جو کافی حد تک PIPEDA سے ملتے جلتے ہیں۔ ان صوبوں میں، PIPEDA اب بھی وفاقی طور پر ریگولیٹڈ سرگرمیوں اور صوبائی/سرحد پار بہاؤ پر لاگو ہوتا ہے۔ کیوبیک کا قانون 25 سب سے اوپر مزید ضروریات کا اضافہ کرتا ہے۔

صوبائی قوانین

کیوبیک (پرائیویٹ سیکٹر میں ذاتی معلومات کے تحفظ کا احترام کرنے والا ایکٹ، قانون 25): کیوبیک میں کسی انٹرپرائز کو لے جانے کے دوران ذاتی معلومات جمع کرنے والے اداروں پر لاگو ہوتا ہے۔ قانون 25 اصلاحات (مرحلہ 2022–2023 میں نافذ) نے PIPEDA سے آگے کیوبیک کی ضروریات کو نمایاں طور پر مضبوط کیا۔

البرٹا (پرسنل انفارمیشن پروٹیکشن ایکٹ — PIPA): کافی حد تک PIPEDA سے ملتا جلتا ہے۔ البرٹا میں قائم نجی تنظیموں کی صوبائی سرگرمیوں پر لاگو ہوتا ہے۔

برٹش کولمبیا (پرسنل انفارمیشن پروٹیکشن ایکٹ — PIPA BC): اسی طرح کا فریم ورک؛ BC پر مبنی نجی تنظیموں کی صوبائی سرگرمیوں پر لاگو ہوتا ہے۔

اونٹاریو، مانیٹوبا، ساسکیچیوان: کوئی خاص طور پر ایک جیسا صوبائی قانون نہیں — PIPEDA لاگو ہوتا ہے۔

مجوزہ کنزیومر پرائیویسی پروٹیکشن ایکٹ (CPPA)

بل C-27 (مجوزہ قانون سازی، جون 2022 میں متعارف کرایا گیا) PIPEDA کی جگہ کنزیومر پرائیویسی پروٹیکشن ایکٹ نافذ کرے گا:

• GDPR سے متاثر رضامندی کے تقاضے
• الگورتھمک شفافیت اور خودکار فیصلہ سازی کے حقوق
• ڈیٹا کی نقل و حرکت کے حقوق
• نمایاں طور پر بڑھایا گیا جرمانہ: عالمی آمدنی کا 3% تک یا $10 ملین CAD (ٹائر 1)؛ عالمی آمدنی کا 5% یا $25 ملین CAD (ٹائر 2)
• OPC کے فیصلوں کا فیصلہ کرنے کے لیے ایک آزاد پرائیویسی ٹربیونل
• بچوں کی رازداری کے واضح تحفظات

2026 کے اوائل تک، CPPA کو نافذ نہیں کیا گیا ہے۔ کاروباری اداروں کو قانون سازی کی پیشرفت کی نگرانی کرنی چاہیے اور تعمیل کے پروگراموں کو ڈیزائن کرنا چاہیے جو نافذ ہونے پر نئے فریم ورک کے مطابق ہو سکیں۔

---

PIPEDA کے دس منصفانہ معلومات کے اصول

PIPEDA کینیڈین اسٹینڈرڈز ایسوسی ایشن کے ماڈل کوڈ برائے تحفظ ذاتی معلومات (CAN/CSA Q830) کے دس اصولوں پر بنایا گیا ہے:

PIPEDA کے تحت رضامندی: اصول 3 کے لیے بامعنی رضامندی درکار ہے — افراد کو یہ سمجھنا چاہیے کہ وہ کس چیز پر رضامندی دے رہے ہیں۔ رضامندی ظاہر (واضح، تحریری، یا زبانی) یا مضمر ہو سکتی ہے (جہاں مقصد واضح ہے اور فرد معقول طور پر اس کی توقع کرے گا)۔ مضمر رضامندی کم حساس معلومات اور کم خطرے والے استعمال کے لیے موزوں ہے۔ حساس معلومات اور استعمال کے لیے واضح رضامندی درکار ہے جس کی لوگ توقع نہیں کریں گے۔

او پی سی نے مستقل طور پر پایا ہے کہ "بنڈل رضامندی" (متعدد مقاصد کے لیے ایک ٹک باکس) اور "سمجھی ہوئی رضامندی" (ڈیٹا کے طریقوں کو گھنے شرائط و ضوابط میں دفن کرنا) بامعنی رضامندی کی تشکیل نہیں کرتے ہیں۔

---

کیوبیک قانون 25: مضبوط تقاضے

کیوبیک کا قانون 25 (ذاتی معلومات کے تحفظ کے حوالے سے قانون سازی کی دفعات کو جدید بنانے کا ایکٹ) کینیڈا میں سب سے اہم صوبائی رازداری کی اصلاحات کی نمائندگی کرتا ہے۔ تین مراحل میں لاگو کیا گیا:

مرحلہ 1 (ستمبر 2022): خلاف ورزی کا لازمی نوٹیفکیشن، گورننس کے تقاضے، پرائیویسی آفیسر کا عہدہ، برقرار رکھنے کے شیڈول کی پالیسیاں

مرحلہ 2 (ستمبر 2023): رازداری کے اثرات کے جائزے، نئے انفرادی حقوق (رسائی، اصلاح، پورٹیبلٹی، پروفائلنگ پر اعتراض)، رضامندی کے معیارات، خودکار فیصلہ سازی کے لیے شفافیت کے تقاضے

مرحلہ 3 (ستمبر 2023، جاری): ڈیٹا پورٹیبلٹی کے حقوق، ڈی انڈیکسنگ کے حقوق (حق فراموشی)، سرحد پار منتقلی کے تحفظ کے اثرات کے جائزے

کلیدی قانون 25 PIPEDA سے آگے کے تقاضے

پرائیویسی امپیکٹ اسیسمنٹس (PIAs): کسی بھی پروجیکٹ سے پہلے ضروری ہے جس میں ذاتی معلومات کو اکٹھا کرنا، استعمال کرنا یا مواصلت کرنا شامل ہے۔ پی آئی اے کو ہائی رسک پراجیکٹس کے لیے سی اے آئی سے مطلع کیا جانا چاہیے۔

کراس بارڈر ٹرانسفر PIAs: کیوبیک سے باہر ذاتی معلومات کو مواصلت کرنے سے پہلے، کاروباری اداروں کو CAI کے مقرر کردہ معیارات کا استعمال کرتے ہوئے رازداری کے تحفظ کے اثرات کا جائزہ لینا چاہیے۔ اس میں معلومات کی حساسیت، منزل کے دائرہ اختیار میں قانونی تحفظات، اور ان اقدامات پر غور کرنا چاہیے جو معلومات کے تحفظ کے لیے لاگو کیے جائیں گے۔

ڈی انڈیکس کرنے کا حق (بھولنے کا حق): افراد اپنے نام کے ساتھ منسلک ہائپر لنکس کو ہٹانے کی درخواست کرسکتے ہیں جو ذاتی معلومات کو پھیلاتے ہیں جہاں: معلومات اب درست نہیں ہیں، وہ شخص نابالغ ہے، یا انڈیکس کرنے کا کوئی جائز جواز نہیں ہے۔

خودکار فیصلہ سازی کی شفافیت: جہاں خصوصی طور پر ذاتی معلومات کی خودکار پروسیسنگ پر مبنی فیصلہ قانونی یا اہم اثرات کے ساتھ کیا جاتا ہے، افراد کو مطلع کیا جانا چاہیے اور انہیں انسانی نظرثانی کی درخواست کرنے کا حق حاصل ہونا چاہیے۔

** رضامندی کے معیارات**: رضامندی واضح، آزادانہ طور پر دی گئی اور مطلع ہونی چاہیے۔ ہر ایک مخصوص مقصد کے لیے اس کی درخواست کی جانی چاہیے۔ واضح رضامندی عام طور پر کیوبیک کے لیے کافی نہیں ہوتی ہے — واضح، مثبت کارروائی کی ضرورت ہے۔

جرمانے: CAI قانون 25 کی سنگین خلاف ورزیوں پر $25 ملین CAD یا دنیا بھر کے ٹرن اوور کا 4% (جو بھی زیادہ ہو) جرمانہ عائد کر سکتا ہے۔ CAI نے نفاذ شروع کر دیا ہے اور اپنے پہلے جرمانے کے فیصلے جاری کر دیے ہیں۔

---

PIPEDA کے تحت لازمی خلاف ورزی کی رپورٹنگ

PIPEDA کے تحت لازمی خلاف ورزی کی اطلاع دہندگی کے تقاضے (1 نومبر 2018 سے نافذ العمل) اس وقت لاگو ہوتے ہیں جب حفاظتی تحفظات کی خلاف ورزی افراد کے لیے "اہم نقصان کا حقیقی خطرہ" پیدا کرتی ہے۔

اہم نقصان میں شامل ہیں: جسمانی نقصان، تذلیل، ساکھ کو نقصان، ملازمت، کاروبار یا پیشہ ورانہ مواقع کا نقصان، مالی نقصان، شناخت کی چوری، کریڈٹ ریکارڈ پر منفی اثرات، اور رشتوں کو نقصان یا اعتماد کا نقصان۔

رپورٹنگ کے تقاضے:

1. OPC کو رپورٹ کریں: اہم نقصان کے حقیقی خطرے کا تعین کرنے کے بعد جتنی جلدی ممکن ہو۔ OPC کا ڈیٹا بریچ رپورٹنگ فارم استعمال کریں۔

2. متاثرہ افراد کو مطلع کریں: OPC رپورٹنگ کے ساتھ ہی، یا جتنی جلدی ممکن ہو۔ اطلاع لازمی ہے:

• خلاف ورزی کے حالات بیان کریں۔
• شناخت کریں کہ کون سی ذاتی معلومات شامل تھی۔
• خلاف ورزی سے نمٹنے کے لیے اٹھائے گئے اقدامات کی وضاحت کریں۔
• وضاحت کریں کہ متاثرہ افراد اپنی حفاظت کے لیے کیا کر سکتے ہیں۔
• تنظیم کے لیے رابطے کی معلومات فراہم کریں۔

3. دوسری تنظیموں کو مطلع کریں: جہاں کوئی اور تنظیم نقصان کے خطرے کو کم کرنے کے قابل ہو سکتی ہے (مثلاً، کریڈٹ بیورو، قانون نافذ کرنے والے)، انہیں مطلع کریں۔

ریکارڈ کیپنگ: 24 مہینوں تک تمام خلاف ورزیوں کے ریکارڈ کو برقرار رکھیں (چاہے اہم نقصان کے حقیقی خطرے کا تعین کیا گیا ہو یا نہیں)۔ OPC ان ریکارڈوں کی درخواست کر سکتا ہے۔

کیوبیک قانون 25 کی خلاف ورزی کے تقاضے: کیوبیک کے اپنے نوٹیفکیشن کے تقاضے کیوبیک کے کاروباری اداروں پر لاگو ہوتے ہیں۔ قانون 25 CAI کے تجویز کردہ فارم کا استعمال کرتے ہوئے، ذاتی معلومات پر مشتمل رازداری کے واقعے سے آگاہ ہونے کے 72 گھنٹوں کے اندر CAI کو اطلاع دینے کا تقاضا کرتا ہے۔

---

ڈیٹا کی منتقلی اور احتساب

PIPEDA کے احتساب کا اصول (اصول 1) فریق ثالث کے ڈیٹا کو ہینڈلنگ تک پھیلاتا ہے: تنظیمیں اپنی تحویل میں ذاتی معلومات کے لیے ذمہ دار ہوتی ہیں، بشمول جب کارروائی کے لیے تیسرے فریق کو منتقل کیا جاتا ہے۔ پروسیسرز کے ساتھ معاہدوں کو تقابلی تحفظ فراہم کرنا چاہیے۔

سرحد پار منتقلی: PIPEDA سرحد پار ڈیٹا کی منتقلی پر پابندی نہیں لگاتا لیکن بیرون ملک منتقل ہونے پر تنظیموں کو اپنی ذاتی معلومات کے لیے جوابدہ ہونے کی ضرورت ہے۔ تقابلی تحفظ کو یقینی بنانے کے لیے معاہدے کے معاہدوں کا استعمال کریں۔ OPC کے رہنما خطوط ان ممالک کو دستاویز کرنے کی سفارش کرتے ہیں جہاں ڈیٹا منتقل کیا جا سکتا ہے۔

کیوبیک قانون 25 سرحد پار پابندیاں: کیوبیک سرحد پار منتقلی کا ایک سخت فریم ورک نافذ کرتا ہے جس میں کسی بھی صوبے سے باہر منتقلی سے پہلے ایک دستاویزی رازداری کے اثرات کی تشخیص کی ضرورت ہوتی ہے، جس میں منزل کے تحفظات، معلومات کی حساسیت، اور لاگو حفاظتی اقدامات پر غور کیا جاتا ہے۔

---

پرائیویسی مینجمنٹ پروگرام

OPC کے رہنما خطوط PIPEDA کی تعمیل کی بنیاد کے طور پر ایک جامع رازداری کے انتظام کے پروگرام کو لاگو کرنے کی تجویز کرتے ہیں:

1۔ پرائیویسی گورننس:

• مناسب اتھارٹی اور مہارت کے ساتھ ایک پرائیویسی آفیسر نامزد کریں۔
• رازداری کی پالیسیوں اور طریقہ کار کو تیار اور لاگو کریں۔
• واضح جوابدہی کے ساتھ پرائیویسی گورننس کا ڈھانچہ بنائیں

2۔ رسک مینجمنٹ:

• نئے یا تبدیل شدہ پروگراموں، سسٹمز اور سرگرمیوں کے لیے پرائیویسی امپیکٹ اسسمنٹ (PIAs) کا انعقاد
• رازداری کے خطرات کے لیے رسک رجسٹر کو برقرار رکھیں
• رازداری کے جائزے کو پروڈکٹ ڈویلپمنٹ اور آئی ٹی تبدیلی کے انتظام میں ضم کریں۔

3۔ پالیسی فریم ورک:

• رازداری کی پالیسی (عوام کا سامنا)
• ڈیٹا برقرار رکھنے اور ضائع کرنے کی پالیسی
• خلاف ورزی جوابی طریقہ کار
• تھرڈ پارٹی وینڈر مینجمنٹ پالیسی
• ملازم کی رازداری کی پالیسی

4۔ تربیت اور آگاہی:

• تمام ملازمین کے لیے رازداری کی سالانہ تربیت
• ان لوگوں کے لیے مخصوص کردار کی تربیت جو ذاتی معلومات کو معمول کے مطابق سنبھالتے ہیں۔
• آن بورڈنگ پر نئے ملازمین کے لیے تربیت

5۔ نگرانی اور تصدیق:

• باقاعدگی سے پرائیویسی آڈٹ
• پی آئی اے کا وقتاً فوقتاً جائزہ اور اپ ڈیٹ
• رازداری کی پالیسیوں کا سالانہ جائزہ
• OPC، CAI، اور صوبائی پرائیویسی کمشنرز سے ریگولیٹری رہنمائی کی نگرانی

---

OPC نفاذ اور شکایات کا عمل

OPC (آفس ​​آف دی پرائیویسی کمشنر آف کینیڈا) بنیادی طور پر PIPEDA کے تحت محتسب کے طور پر کام کرتا ہے - یہ شکایات کی چھان بین کرتا ہے اور سفارشات دیتا ہے، لیکن براہ راست جرمانہ نہیں لگا سکتا۔ موجودہ PIPEDA کے تحت OPC کی سفارشات کی تعمیل قانونی طور پر مجبور نہیں ہے، حالانکہ OPC اپنے نتائج کو نافذ کرنے والے عدالتی حکم کے لیے وفاقی عدالت میں درخواست دے سکتا ہے۔

شکایت کا عمل:

1. فرد تنظیم کو شکایت جمع کرواتا ہے (پہلا قدم تجویز کردہ)
2. فرد OPC کو شکایت جمع کراتا ہے (کوئی پیشگی تنظیمی رابطہ کی ضرورت نہیں)
3. OPC جلد حل کرنے کی کوشش کرتا ہے۔ ناکام ہونے کی صورت میں، باضابطہ تحقیقات کے لیے آگے بڑھیں۔
4. OPC نتائج اور سفارشات شائع کرتا ہے۔
5. OPC ان احکامات کی تعمیل کے لیے وفاقی عدالت میں درخواست دے سکتا ہے۔

عدالتی احکامات میں طرز عمل کو تبدیل کرنے، معلومات کو تباہ کرنے، نوٹس شائع کرنے اور ہرجانے کی ادائیگی کے تقاضے شامل ہو سکتے ہیں۔

مجوزہ CPPA کے تحت OPC کے اختیارات میں توسیع: بل C-27 OPC کو براہ راست انتظامی مالی جرمانے عائد کرنے کا اختیار دے گا، جو پرائیویسی ٹربیونل کے ذریعے قابل عمل ہے۔ جرمانے $25 ملین یا عالمی آمدنی کے 5% تک پہنچ جائیں گے۔

---

PIPEDA/Law 25 تعمیل چیک لسٹ

• وفاقی قابل اطلاق طے شدہ (PIPEDA بمقابلہ صوبائی قانون سیکٹر اور صوبے کی بنیاد پر)
• کیوبیک قانون 25 قابل اطلاق (کیوبیک میں کاروبار کے دوران PI جمع کرنے والا انٹرپرائز)
• پرائیویسی آفیسر نامزد اور بااختیار
• رازداری کی پالیسی شائع، تازہ ترین، قابل رسائی
• جمع کرنا اس تک محدود ہے جو معقول حد تک ضروری ہے (اصول 4)
• رضامندی حاصل کی گئی: حساس معلومات کے لیے اظہار؛ غیر حساس کے لیے معنی خیز
• رضامندی کا ریکارڈ برقرار رکھا گیا ہے۔
• PIAs نئے منصوبوں کے لیے کیے گئے (قانون 25 لازمی؛ OPC PIPEDA کے لیے تجویز کرتا ہے)
• سرحد پار منتقلی کا جائزہ مکمل ہوا (قانون 25: صوبے سے باہر منتقلی سے پہلے PIA ضروری ہے)
• پروسیسر/وینڈر کے معاہدوں میں تقابلی تحفظ کے تقاضے شامل ہیں۔
• ڈیٹا برقرار رکھنے کا شیڈول دستاویزی اور لاگو کیا گیا ہے۔
• رسائی کی درخواست کا طریقہ کار دستاویزی ہے (30 دن کا جواب)
• تصحیح کی درخواست کا طریقہ کار دستاویزی ہے۔
• خلاف ورزی کے جواب کا طریقہ کار دستاویزی ہے (OPC رپورٹ + انفرادی اطلاع)
• خلاف ورزی کا ریکارڈ برقرار رکھا گیا (24 ماہ)
• کیوبیک آپریشنز کے لیے CAI کی خلاف ورزی کی اطلاع کا طریقہ کار (72 گھنٹے کا ابتدائی)
• ملازمین کی تربیت مکمل اور دستاویزی
• خودکار فیصلہ سازی کی شفافیت نافذ کی گئی (قانون 25)

---

اکثر پوچھے گئے سوالات

کیا PIPEDA میری امریکی کمپنی پر لاگو ہوتا ہے جو کینیڈین صارفین کو خدمات فراہم کرتی ہے؟

PIPEDA کا اطلاق ان تنظیموں پر ہوتا ہے جو تجارتی سرگرمیوں کے دوران ذاتی معلومات اکٹھی، استعمال یا ظاہر کرتی ہیں۔ اگر آپ کی امریکی کمپنی کے پاس کینیڈا کے صارفین کی خدمت کرنے والی ویب سائٹ ہے اور وہ ان کی ذاتی معلومات جمع کرتی ہے، تو ممکنہ طور پر PIPEDA کا اطلاق ہوتا ہے — خاص طور پر اس معلومات کو جمع کرنے اور استعمال کرنے پر۔ کیوبیک کا قانون 25 ان اداروں پر لاگو ہوتا ہے جو "کیوبیک میں ایک انٹرپرائز چلا رہے ہیں"، جس میں تجارتی ارادے کے ساتھ کیوبیک کے رہائشیوں کے لیے قابل رسائی ویب سائٹ کو برقرار رکھنا شامل ہو سکتا ہے۔ OPC نے PIPEDA کی خلاف ورزیوں کے لیے غیر کینیڈین کمپنیوں سے تفتیش کی ہے جس میں کینیڈا کے رہائشیوں کا ڈیٹا شامل ہے۔

PIPEDA اور Quebec Law 25 میں کیا فرق ہے؟

کیوبیک قانون 25 عام طور پر کئی اہم شعبوں میں PIPEDA سے سخت ہے: (1) رضامندی: قانون 25 زیادہ تر پروسیسنگ کے لیے واضح، مخصوص رضامندی کی ضرورت ہے — PIPEDA غیر حساس معلومات کے لیے مضمر رضامندی کی اجازت دیتا ہے۔ (2) سرحد پار منتقلی: قانون 25 کے تحت صوبے سے باہر منتقلی سے پہلے پرائیویسی امپیکٹ اسیسمنٹ کی ضرورت ہے۔ PIPEDA کو جوابدہی کی ضرورت ہے لیکن کوئی مقررہ تشخیصی فارمیٹ نہیں؛ (3) حقوق: قانون 25 میں ڈی انڈیکسنگ، پورٹیبلٹی، اور پروفائلنگ پر اعتراض کا حق شامل ہے — PIPEDA کے حقوق زیادہ محدود ہیں۔ (4) نفاذ: قانون 25 CAI کو $25M یا دنیا بھر کے کاروبار کے 4% تک جرمانے عائد کرنے کی اجازت دیتا ہے۔ PIPEDA کا OPC صرف عدالتی احکامات طلب کر سکتا ہے۔ (5) رازداری کے اثرات کا جائزہ: نئے منصوبوں کے لیے قانون 25 کے تحت لازمی؛ تجویز کردہ لیکن PIPEDA کے تحت لازمی نہیں۔

ای میل مارکیٹنگ کے لیے PIPEDA کے تحت رضامندی کیسے کام کرتی ہے؟

ای میل مارکیٹنگ کے لیے PIPEDA کی رضامندی بھی کینیڈا کی اینٹی اسپام قانون سازی (CASL) کے زیر انتظام ہے، جو PIPEDA کے ساتھ کام کرتی ہے۔ CASL کو تجارتی الیکٹرانک پیغامات بھیجنے سے پہلے اظہار رضامندی کی ضرورت ہوتی ہے جب تک کہ کوئی استثنیٰ لاگو نہ ہو (موجودہ کاروباری تعلق، پیشگی اظہار رضامندی)۔ ایکسپریس رضامندی آپٹ ان ہونی چاہیے (پہلے سے چیک شدہ بکس نہیں)۔ ایک موجودہ کاروباری تعلق CASL کے تحت لین دین کے بعد 2 سال تک مضمر رضامندی پیدا کرتا ہے۔ PIPEDA اصول 3 کے تحت، مارکیٹنگ کے لیے بامعنی رضامندی کو واضح طور پر مقصد کی نشاندہی کرنی چاہیے۔ تجارتی ای میل کے لیے CASL کی مخصوص ضروریات تنازعات کی صورت میں PIPEDA کو اوور رائیڈ کرتی ہیں — CASL کی تعمیل عام طور پر ای میل مارکیٹنگ کے مقاصد کے لیے PIPEDA کی رضامندی کی ضروریات کو پورا کرتی ہے۔

پرائیویسی امپیکٹ اسسمنٹ (PIA) کب ضروری ہے؟

PIPEDA کے تحت، PIAs کو OPC کی طرف سے نئے پروگراموں یا سسٹمز کے لیے سختی سے تجویز کیا جاتا ہے جن میں ذاتی معلومات شامل ہوں گی — لیکن قانونی طور پر لازمی نہیں۔ کیوبیک کے قانون 25 کے تحت، PIAs کے لیے کسی بھی منصوبے کو مکمل کرنے سے پہلے، جس میں ذاتی معلومات جمع کرنا، کمیونیکیشن کرنا، یا استعمال کرنا شامل ہے، اور کیوبیک سے باہر ذاتی معلومات کو پہنچانے سے پہلے لازمی ہے۔ CAI PIA کے رہنما خطوط جاری کرتا ہے اور ٹیمپلیٹس فراہم کرتا ہے۔ وفاقی حکومت کے محکموں سے یہ بھی ضروری ہے کہ وہ کینیڈین کی ذاتی معلومات کا استعمال کرتے ہوئے پروگراموں کے لیے پی آئی اے کا انعقاد کریں۔ عملی طور پر، PIAs کو کسی بھی نئی پروڈکٹ، فیچر، یا کاروباری عمل کے لیے معیاری مشق ہونا چاہیے جس میں اہم ذاتی ڈیٹا اکٹھا کرنا شامل ہو۔

کیوبیک قانون 25 کے تحت "بھول جانے کا حق" کیا ہے؟

کیوبیک قانون 25 میں ڈی انڈیکسنگ کا حق شامل ہے — جسے کبھی کبھی بھول جانے کا حق یا فراموشی کا حق کہا جاتا ہے۔ افراد درخواست کر سکتے ہیں کہ کوئی انٹرپرائز ذاتی معلومات کو پھیلانا بند کر دے یا ان کے نام کے ساتھ منسلک کسی بھی ہائپر لنک کو ڈی انڈیکس کر دے اگر یہ پھیلانا: انہیں نقصان پہنچاتا ہے اور قانون کی خلاف ورزی کرتا ہے؛ ضرورت سے زیادہ ہے، متعلقہ نہیں ہے، یا غیر قانونی جمع کرنے کا موضوع رہا ہے؛ اب ان مقاصد سے متعلق نہیں ہے جن کے لیے اسے جمع کیا گیا تھا۔ یا وہ شخص نابالغ ہے۔ یہ جی ڈی پی آر کے مٹانے کے حق سے مختلف ہے - یہ خاص طور پر ہائپر لنکس کی ڈی انڈیکسنگ کو نشانہ بناتا ہے، نہ کہ صرف بنیادی ڈیٹا کو حذف کرنا۔

---

اگلے اقدامات

کینیڈا کا رازداری کا منظر نامہ اس سے کہیں زیادہ پیچیدہ ہے جو باہر سے ظاہر ہوتا ہے — وفاقی PIPEDA، کیوبیک قانون 25، صوبائی PIPA قوانین، اور CPPA کی مجوزہ اصلاحات ایک تہہ دار تعمیل ماحول پیدا کرتی ہیں۔ کینیڈین آپریشنز یا صارفین کے ساتھ ڈیجیٹل کاروبار کے لیے، ایک جامع پرائیویسی پروگرام بنانا جو PIPEDA کو بیس لائن کے طور پر اور قانون 25 کو سب سے زیادہ بار کے طور پر مطمئن کرتا ہے سب سے زیادہ موثر طریقہ ہے۔

ECOSIRE کی ٹیم کاروباروں کو کینیڈین پرائیویسی کے تقاضوں کو نیویگیٹ کرنے، پرائیویسی بذریعہ ڈیزائن ڈیجیٹل پلیٹ فارم بنانے، اور رضامندی کے انتظام کے نظام کو نافذ کرنے میں مدد کرتی ہے جو PIPEDA اور Quebec Law 25 دونوں کی ضروریات کو پورا کرتے ہیں۔

مزید جانیں: ECOSIRE سروسز

ڈس کلیمر: یہ گائیڈ صرف معلوماتی مقاصد کے لیے ہے اور قانونی مشورے پر مشتمل نہیں ہے۔ کینیڈا کا رازداری کا قانون وفاقی قانون سازی اور کیوبیک قانون 25 کے نفاذ کے ذریعے تیار ہو رہا ہے۔ اپنی تنظیم کے لیے مخصوص مشورے کے لیے اہل کینیڈا کے قانونی مشیر سے رجوع کریں۔