सही

PIPEDA – कैनेडियन जनरल डेटा प्रोटेक्शन रेगुलेशन


इस लेख में हम कनाडाई डेटा सुरक्षा विनियमन PIPEDA और आगामी CPPA विनियमन के बारे में सब कुछ समझाएंगे। अगले लेख में हम कुकीज़ और सहमति के बारे में अधिक विस्तार से जानेंगे।

कनाडाई झंडा

पिपेडा क्या है?

PIPEDA व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम का संक्षिप्त रूप है और नए कनाडाई जनरल डेटा संरक्षण विनियमन को संदर्भित करता है। संशोधन पिछले दो कनाडाई डेटा संरक्षण कानूनों , उपभोक्ता गोपनीयता संरक्षण अधिनियम (सीपीपीए) और व्यक्तिगत सूचना और डेटा संरक्षण न्यायाधिकरण अधिनियम (पीआईडीपीटीए) को जीडीपीआर के समकक्ष एक व्यापक विनियमन में जोड़ता है। यूरोपीय जनरल डेटा प्रोटेक्शन रेगुलेशन का संदर्भ PIPEDA के कई हिस्सों में देखा जा सकता है, यही वजह है कि इसे अक्सर जीडीपीआर कनाडा कहा जाता है।

जीडीपीआर के समान, कनाडा का गोपनीयता अधिनियम व्यावसायिक गतिविधियों के हिस्से के रूप में एकत्र और संग्रहीत व्यक्तिगत जानकारी के प्रबंधन को नियंत्रित करता है। इसलिए व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम PIPEDA उन सभी कंपनियों के लिए महत्वपूर्ण है जो कनाडा में उपभोक्ताओं तक सेवाएँ और उत्पाद पहुँचाना चाहती हैं – चाहे स्थिर हों या दूरस्थ बिक्री के माध्यम से। PIPEDA के अर्थ के अंतर्गत वाणिज्यिक गतिविधियाँ वाणिज्यिक मूल के या व्यावसायिक इरादे से किए गए सभी लेनदेन और कार्य हैं।

PIPEDA उन कंपनियों और संगठनों पर लागू होता है जो संघीय रूप से विनियमित हैं और कनाडाई कानून के अधीन हैं। व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम प्रत्येक प्रांत के निजी क्षेत्र पर भी लागू होता है, जब तक कि किसी प्रांत ने अपना स्वयं का डेटा संरक्षण कानून नहीं बनाया है जो काफी हद तक व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम PIPEDA के समान है। केवल ब्रिटिश कोलंबिया, अल्बर्टा और क्यूबेक में डेटा संरक्षण कानून हैं जो मोटे तौर पर व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम PIPEDA के समान हैं। यदि कोई कंपनी ब्रिटिश कोलंबिया, अल्बर्टा या क्यूबेक में स्थित है, तो व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम उन संगठनों द्वारा एकत्र की गई व्यक्तिगत जानकारी पर इस हद तक लागू होता है कि जानकारी का व्यावसायिक उपयोग उस प्रांत की सीमाओं से अधिक हो जाता है।

व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम PIPEDA में 10 गोपनीयता सिद्धांत

जिन कंपनियों को पीआईपीईडीए का अनुपालन करने की आवश्यकता है, उन्हें समय पर कनाडा के लिए इस जीडीपीआर के डेटा सुरक्षा सिद्धांतों से परिचित होना चाहिए। 10 बिंदु उन अधिकारों और दायित्वों की रूपरेखा प्रस्तुत करते हैं जिनका संगठनों को कनाडा के लिए जीडीपीआर के तहत कनाडाई उपभोक्ताओं के साथ वाणिज्यिक लेनदेन में पालन करना चाहिए:

  1. जवाबदेही
  2. निर्धारण
  3. सहमति
  4. डेटा से बचाव और डेटा अर्थव्यवस्था
  5. भंडारण, उपयोग और प्रसंस्करण
  6. शुद्धता
  7. सत्यनिष्ठा और गोपनीयता
  8. पारदर्शिता
  9. जानकारी प्रदान करने का अधिकार
  10. अपील का अधिकार

जो कोई भी सामान्य डेटा संरक्षण विनियमन से परिचित है, वह पीआईपीईडीए के 10 सिद्धांतों के अवलोकन में कई पहलुओं को पहचानेगा जो ईयू के जीडीपीआर में भी पाए जा सकते हैं। हालाँकि, विवरण में मतभेद हैं, खासकर जब व्यक्तिगत डेटा के संग्रह के लिए सहमति की बात आती है। आइए प्रत्येक 10 बिंदुओं पर एक नज़र डालें:

1. जवाबदेही

जवाबदेही के सिद्धांत का अर्थ है कि एक निश्चित आकार के संगठन को एक ऐसे व्यक्ति को नियुक्त करना होगा जो एकत्रित और व्यक्तिगत डेटा के प्रबंधन के लिए जिम्मेदार हो। इस व्यक्ति को जीडीपीआर में डेटा सुरक्षा अधिकारी कहा जाता है – व्यक्तिगत सूचना संरक्षण और इलेक्ट्रॉनिक दस्तावेज़ अधिनियम PIPEDA में उसे गोपनीयता अधिकारी या मुख्य गोपनीयता अधिकारी (CPO) कहा जाता है। छोटी कंपनियों में गोपनीयता अधिकारी अपना कार्य अंशकालिक रूप से भी कर सकता है। इसका मुख्य कार्य PIPEDA के तहत डेटा सुरक्षा आवश्यकताओं को पूरा करने वाली प्रक्रियाओं को विकसित करना, लागू करना और निगरानी करना है। इसके अलावा, डेटा सुरक्षा अधिकारी को डेटा संग्रह के बारे में शिकायतें प्राप्त करनी होंगी और उनका जवाब देना होगा । एक महत्वपूर्ण क्षेत्र कर्मचारियों का प्रशिक्षण और जिम्मेदारी के व्यक्तिगत क्षेत्रों से संबंधित डेटा सुरक्षा आवश्यकताओं का संचार भी है। यदि उपभोक्ता ने तीसरे पक्ष द्वारा डेटा प्रोसेसिंग के लिए सहमति दी है, तो गोपनीयता अधिकारी तीसरे पक्ष द्वारा PIPEDA आवश्यकताओं के अनुपालन के लिए जिम्मेदार है।

2. चिन्हांकन

कंपनी ग्राहक का निजी डेटा क्यों स्टोर करना चाहती है? डेटा एकत्र करते समय उपभोक्ता को उद्देश्य अवश्य बताया जाना चाहिए। प्रकटीकरण पारदर्शिता बनाता है, लेकिन कंपनी के लिए विशिष्ट पहुंच को लागू करना भी आसान बनाता है। PIPEDA के अनुसार, डेटा संग्रह का उद्देश्य ग्राहकों के संपर्क में आने वाले प्रत्येक कर्मचारी को बताया जाना चाहिए। उदाहरण के लिए, यदि किसी ग्राहक से खरीदारी करते समय चेकआउट पर उनका पता या टेलीफोन नंबर पूछा जाता है, तो अनुरोध पर डेटा जानकारी के उपयोग के बारे में उन्हें समझाया जाना चाहिए । ग्राहकों से व्यक्तिगत जानकारी एकत्र करने वाले कागज और ऑनलाइन फॉर्म में संग्रह के उद्देश्य का भी स्पष्ट रूप से वर्णन होना चाहिए। एकत्रित व्यक्तिगत डेटा का उपयोग ग्राहक की स्पष्ट अनुमति के बिना किसी नए उद्देश्य के लिए नहीं किया जा सकता है। एक अपवाद कानूनी आवश्यकताएं हैं जिनके लिए इसकी आवश्यकता होती है।

3. सहमति

कोई कंपनी ग्राहक की जानकारी और सहमति के बिना व्यक्तिगत जानकारी एकत्र, उपयोग या खुलासा नहीं कर सकती है। ग्राहक डेटा एकत्र करने का इरादा स्पष्ट और सुस्पष्ट रूप से संप्रेषित किया जाना चाहिए। यदि किसी फॉर्म में व्यक्तिगत डेटा का अनुरोध किया जाता है, तो किसी भी अस्पष्ट शब्दों की अनुमति नहीं है। यदि कोई व्यक्ति डेटा जानकारी प्रदान करने से इनकार करता है तो उसे नुकसान नहीं होगा। इसलिए कंपनियों को अपने उत्पाद और सेवाएँ उन उपभोक्ताओं को भी उपलब्ध करानी चाहिए जो उत्पाद या सेवा से संबंधित डेटा प्रदान नहीं करना चाहते हैं। कुछ अपवाद हैं: कोई कंपनी सहमति से इनकार कर सकती है यदि इसके खिलाफ कानूनी या चिकित्सीय कारण हों। सुरक्षा कारण कुछ उत्पादों पर भी लागू हो सकते हैं। और यदि कानून प्रवर्तन के लिए जानकारी एकत्र की जाती है, तो सहमति की भी आवश्यकता नहीं रह जाती है। ऐसे मामलों में भी सहमति से छूट दी जा सकती है जहां कोई व्यक्ति नाबालिग, गंभीर रूप से बीमार या मानसिक रूप से विकलांग है। हालाँकि, सहमति किसी अधिकृत प्रतिनिधि द्वारा भी दी जा सकती है।

जब सहमति के प्रकार की बात आती है, तो इनमें अंतर किया जाता है:

  • मुखर
  • उलझाव से
  • बाहर निकलना

कई मामलों में – जैसे ऑनलाइन पंजीकरण – यूरोपीय सामान्य डेटा संरक्षण विनियमन के समान, यहां उपभोक्ता से स्पष्ट सहमति की आवश्यकता होती है। आम तौर पर ऑप्ट-आउट प्रदान नहीं किया जाता है। कुकी सहमति PIPEDA के लिए – जीडीपीआर में कुकी नियमों के बराबर – कोई टिक या बटन पहले से निर्दिष्ट नहीं किया जा सकता है। सिद्धांत रूप में, सहमति का लिखित होना ज़रूरी नहीं है – मौखिक सहमति ही पर्याप्त है। उदाहरण के लिए, किसी इच्छुक पार्टी के लिए न्यूज़लेटर में शामिल होने के लिए टेलीफोन द्वारा अपनी सहमति देना पर्याप्त है। हालाँकि , टेलीफोन पर दी गई सहमति अक्सर कंपनी के लिए साक्ष्य उपलब्ध कराना कठिन बना देती है। कुछ मामलों में, सहमति सीधे उपभोक्ता के कार्यों से भी प्राप्त की जा सकती है।

उपभोक्ता किसी भी समय संविदात्मक और कानूनी प्रतिबंधों और समय सीमा के अधीन अपनी सहमति वापस ले सकते हैं। कंपनी को ग्राहक को सहमति वापस लेने के परिणामों के बारे में सूचित करना होगा।

4. डेटा से बचाव और डेटा अर्थव्यवस्था

किसी उद्देश्य के लिए आवश्यक डेटा की मात्रा तक डेटा संग्रह को सीमित करने का सिद्धांत एक सिद्धांत है जो यूरोपीय जीडीपीआर में भी महत्वपूर्ण भूमिका निभाता है। किसी कंपनी द्वारा एकत्र किया गया व्यक्तिगत डेटा व्यावसायिक संबंध के संदर्भ में किसी कार्रवाई के लिए आवश्यक तक ही सीमित होना चाहिए।

PIPEDA के तहत अनावश्यक व्यक्तिगत डेटा के संग्रह और भंडारण से भी बचना चाहिए। डेटा का निष्पक्ष और वैध प्रबंधन, जो “निष्पक्ष और वैध साधन” वाक्यांश के पीछे छिपा हुआ है, का उद्देश्य ग्राहक की डेटा संप्रभुता और पारदर्शी प्रक्रियाओं की आवश्यकता है। कुछ व्यक्तिगत डेटा एकत्र करने का उद्देश्य धोखे या अस्पष्ट बयानों से अस्पष्ट नहीं होना चाहिए।

5. भंडारण, उपयोग और प्रसंस्करण

एकत्रित डेटा का उपयोग केवल उस दायरे के भीतर ही हो सकता है जो ग्राहक को ज्ञात हो और जिसके लिए उसने अपनी सहमति दी हो। कनाडा के जनरल डेटा प्रोटेक्शन रेगुलेशन (PIPEDA) द्वारा व्यक्तिगत जानकारी के प्रकटीकरण या अन्य उपयोग की अनुमति नहीं है। अवधारण अवधि कंपनी की आवश्यकताओं और अन्य कानूनी नियमों पर आधारित होती है। कंपनियों के लिए अनुशंसित न्यूनतम अवधारण अवधि एक वर्ष है। यह अवधि कंपनी को कानूनी आवश्यकताओं की समीक्षा और अनुपालन करने के लिए पर्याप्त क्षमता देती है। अधिकतम प्रतिधारण अवधि कंपनी द्वारा निर्धारित और प्रकट की जानी चाहिए।

डेटा के असीमित प्रतिधारण की अनुमति नहीं है – उपभोक्ता को अनुरोध पर सूचित किया जाना चाहिए कि उनका डेटा स्थायी रूप से कब हटा दिया जाएगा। यदि अनुरोध किया जाता है, तो समय सीमा के अधीन, डेटा को अज्ञात किया जा सकता है और जल्दी नष्ट किया जा सकता है। इसके अलावा, एक संगठन को यह खुलासा करने में सक्षम होना चाहिए कि डेटा को संसाधित करने के लिए किसकी सहमति प्राप्त हुई है और किस हद तक।

6. सटीकता

सटीकता का सिद्धांत यह सुनिश्चित करता है कि किसी कंपनी द्वारा एकत्र किया गया व्यक्तिगत डेटा उन उद्देश्यों के लिए सटीक, पूर्ण और अद्यतित है जिनके लिए इसका उपयोग किया जाता है।

यह ध्यान में रखा जाना चाहिए कि एकत्र किए गए डेटा का उपयोग उपभोक्ता के सर्वोत्तम हित में किया जाना चाहिए।

PIPEDA में सटीकता की आवश्यकता न केवल कंपनियों और ग्राहकों के बीच संबंधों के लिए महत्वपूर्ण है। उदाहरण के लिए, यदि कोई संगठन भर्ती प्रक्रिया से पहले आवेदक प्रोफाइल की जांच करने के लिए व्यक्तिगत डेटा एकत्र करता है, तो यह सुनिश्चित किया जाना चाहिए कि गलत या अधूरी रिकॉर्डिंग के परिणामस्वरूप आवेदकों को नुकसान न हो।

व्यक्तिगत जानकारी अद्यतन करना

व्यक्तिगत डेटा के स्वचालित और नियमित अद्यतनीकरण की आमतौर पर अनुमति नहीं है। PIPEDA की यह नीति तीसरे पक्ष के साथ साझा की गई जानकारी पर भी लागू होती है।

7. सत्यनिष्ठा और गोपनीयता

अखंडता और गोपनीयता के सिद्धांत का अर्थ है कि व्यक्तिगत डेटा को हानि या चोरी , अनधिकृत पहुंच, प्रकटीकरण, प्रतिलिपि, संशोधन या अनधिकृत उपयोग से संरक्षित किया जाना चाहिए । यह सिद्धांत उस प्रारूप की परवाह किए बिना लागू होता है जिसमें डेटा संग्रहीत है।

उचित सुरक्षात्मक उपाय

प्रयास कंपनी के आकार पर निर्भर करता है। एक छोटा व्यवसाय जो ऑनलाइन न्यूज़लेटर के लिए ग्राहक ईमेल पते बनाता है, ईमेल पते को एक स्प्रेडशीट में संग्रहीत कर सकता है। यदि तालिका पासवर्ड से सुरक्षित है और अत्यधिक एन्क्रिप्टेड भी है, तो पर्याप्त सुरक्षा की कल्पना की जा सकती है।

बड़े संगठन अक्सर महत्वपूर्ण मात्रा में संवेदनशील व्यक्तिगत डेटा का प्रबंधन करते हैं – सभी डेटा न्यूनतमकरण के बावजूद। ये कंपनियां भी अक्सर हमलावरों के निशाने पर होती हैं, यही कारण है कि यहां काफी मजबूत सुरक्षा सावधानियां बरती जानी चाहिए।

उच्च स्तर की अखंडता सुनिश्चित करने के लिए सभी सुरक्षा उपायों को संरक्षित किए जा रहे व्यक्तिगत डेटा के लिए औसत से ऊपर सुरक्षा प्रदान करनी चाहिए।

व्यक्तिगत जानकारी का विनाश

यदि व्यक्तिगत डेटा का निपटान या नष्ट किया जाना है, तो मानवीय विवेक का उपयोग करके और डेटा विनाश के लिए उच्च तकनीकी मानकों को लागू करके पुनर्प्राप्ति को खारिज किया जाना चाहिए। यह कागजी दस्तावेज़ों के भौतिक विनाश और भंडारण मॉड्यूल पर डेटा के विनाश दोनों पर लागू होता है।

8. पारदर्शिता

एक कंपनी को अपनी नीतियों और प्रक्रियाओं को इस बारे में बनाना चाहिए कि वह व्यक्तिगत जानकारी को कैसे संभालती है, इसे आसानी से सुलभ बनाया जा सकता है । इसलिए ग्राहकों को जटिल चक्कर के बिना इस जानकारी तक पहुंच होनी चाहिए। डेटा सुरक्षा के बारे में उपभोक्ताओं की पूछताछ का उत्तर उचित समय के भीतर और यथासंभव सीधे दिया जाना चाहिए। प्रदान की गई जानकारी आम तौर पर समझने योग्य तरीके से तैयार की जानी चाहिए। कानूनी शर्तों से बचना चाहिए.

PIPEDA से आवश्यकताएँ

PIPEDA के अनुसार, किसी संगठन को अनुरोध पर ये डेटा प्रदान करना होगा:

  • संगठन की नीतियों और प्रथाओं के लिए जिम्मेदार व्यक्ति का नाम या पदनाम और पता और जिसे शिकायतें या पूछताछ भेजी जा सकती हैं।
  • व्यक्तिगत डेटा तक पहुँचने के तरीके
  • इसके उपयोग के विवरण सहित एकत्र किए गए व्यक्तिगत डेटा का प्रकार।
  • लिखित जानकारी जो कंपनी संगठन की नीतियों और मानकों की व्याख्या करती है

9. सूचना का अधिकार

अनुरोध पर, कंपनी को किसी व्यक्ति को संग्रहीत व्यक्तिगत डेटा और प्रमाणीकरण के बाद इसका उपयोग कैसे किया जाता है, के बारे में जानकारी प्रदान करनी होगी। यदि किसी ग्राहक को व्यक्तिगत डेटा की सटीकता या पूर्णता पर संदेह है, तो वह रिकॉर्ड किए गए डेटा को बदलने पर जोर दे सकता है। इसका मतलब डेटा को सुधारना , हटाना या जोड़ना हो सकता है।

अपवाद

व्यक्तिगत डेटा के बारे में जानकारी विभिन्न कारणों से अस्वीकार की जा सकती है। यह मामला है यदि जानकारी वकील-ग्राहक विशेषाधिकार के अधीन है या यदि गोपनीय व्यावसायिक जानकारी का खुलासा किया जाएगा।

प्रमाणीकरण आवश्यकताएँ

व्यक्तिगत डेटा तक पहुंच प्रदान करने से पहले, किसी कंपनी को यह सुनिश्चित करना होगा कि वह सही व्यक्ति के साथ संचार कर रही है।

कुछ संगठन सरकार द्वारा जारी पहचान की मांग करके ऐसा करते हैं। यदि आवश्यक हो , तो खाते की जानकारी के साथ-साथ अन्य जानकारी जैसे कि मायके का नाम या संग्रहीत पासवर्ड के आधार पर सत्यापन भी संभव है। हालाँकि, सख्त प्रमाणीकरण आवश्यकताओं को सूचना के अधिकार में बाधा नहीं बनना चाहिए।

सूचना – समय और लागत

सूचना के अनुरोधों का जवाब उचित समय के भीतर और व्यक्ति को न्यूनतम या बिना किसी लागत के दिया जाना चाहिए। अनुरोध का उत्तर प्राप्ति के 30 दिनों के भीतर अवश्य दिया जाना चाहिए। यदि किसी कंपनी को असाधारण रूप से जानकारी प्रदान करने के लिए अधिक समय की आवश्यकता होती है, तो उसे उस व्यक्ति को एक अंतरिम निर्णय भेजना होगा और देरी का एक उचित कारण बताना होगा।

10. शिकायत करने का अधिकार

पीआईपीईडीए में निहित शिकायत का अधिकार ग्राहकों और उपभोक्ताओं को जीडीपीआर कनाडा के बिंदुओं का उल्लंघन होने पर कंपनियों के खिलाफ लक्षित कार्रवाई करने में सक्षम बनाता है।

कंपनियों को शिकायतें और पूछताछ प्राप्त करने और उनका जवाब देने के लिए प्रक्रियाएं प्रदान करनी होंगी। ये प्रक्रियाएँ सरल और उपयोग में आसान होनी चाहिए। इसके अलावा, जीडीपीआर कनाडा के अनुसार, कंपनियों को शिकायतों की जांच और जांच करनी चाहिए, भले ही उन्हें यह विश्वास न हो कि शिकायत उचित है। यदि शिकायत सही साबित होती है तो उसके समाधान के लिए उचित कदम उठाए जाने चाहिए। कंपनी का डेटा सुरक्षा अधिकारी शिकायतें प्राप्त करने और प्रक्रियाएं शुरू करने के लिए जिम्मेदार है।


अधिक टिप्पणियाँ

Digital Services Act
सही

क्या डिजिटल सेवा अधिनियम (डीएसए) आपकी कंपनी पर भी लागू होता है? ऑनलाइन प्लेटफ़ॉर्म पर अतिरिक्त दायित्व हैं

डिजिटल सेवा अधिनियम ऑनलाइन प्लेटफ़ॉर्म के लिए अतिरिक्त पारदर्शिता आवश्यकताएँ निर्धारित करता है। डीएसए के तहत ऑनलाइन प्लेटफ़ॉर्म की परिभाषा आपके व्यवसाय पर लागू हो सकती है। परिणामस्वरूप, आपको डीएसए की अतिरिक्त पारदर्शिता आवश्यकताओं का अनुपालन करना पड़ सकता है। यह जानने के लिए पढ़ें कि क्या आपका व्यवसाय इस श्रेणी में आता है और […]
A picture of a cookies with a red circle in the middle and the caption 1st party cookies and 3rd party cookies
नया

तृतीय-पक्ष कुकीज़ को हटाना और आपकी सीएमपी सहमति स्कोप सेटिंग्स का समायोजन

तृतीय-पक्ष कुकीज़ के आगामी उन्मूलन का मतलब सहमति प्रबंधक सहमति क्षेत्रों के उपयोग में एक बड़ा बदलाव है। जून से, सहमति प्रबंधक अब सहमति प्रबंधक.नेट डोमेन के अंतर्गत तृतीय-पक्ष कुकीज़ सेट नहीं करेगा। इस परिवर्तन के परिणामस्वरूप, तृतीय-पक्ष कुकीज़ के साथ उपयोग किए जाने वाले हमारे कुछ सहमति दायरे विकल्प, जैसे खाता-विशिष्ट सहमति और सीएमपी-विशिष्ट […]