BitRaser >
Article >
POPI Compliance, Südafrikas Datenschutzgesetz

BITRASER^®

POPI Compliance, Südafrikas Datenschutzgesetz

Geschrieben von

Pravin Mehta linkdin

Veröffentlicht am

Sept 29, 2023

Min Lesen

3 Min

Zusammenfassung: Lesen Sie diesen Artikel, wenn Sie ein Unternehmen sind, das mit personenbezogenen Daten umgeht, und ein klares Verständnis des POPIA und seiner Auswirkungen auf den Umgang mit Daten in Südafrika gewinnen wollen. Sie erhalten einen umfassenden Einblick in den Protection of Personal Information Act (POPIA), der die Verarbeitung personenbezogener Daten in Südafrika regelt. Der Artikel umreißt die Hauptziele des POPIA-Gesetzes, seine wichtigen Definitionen und die acht wesentlichen Bedingungen, die Datenverarbeiter zum Schutz personenbezogener Daten einhalten müssen.

Südafrika hat ein eigenes Datenschutzgesetz, das der EU-GDPR vorausging. Im November 2013 wurde der Protection of Personal Information Act verabschiedet. Dieses Gesetz, das im Volksmund als POPI-Gesetz oder POPIA bezeichnet wird, enthält acht wesentliche Bedingungen, die Datenverarbeiter erfüllen müssen, um "persönliche Informationen" (PI) zu schützen. Bevor wir uns mit diesen Bedingungen befassen, sollten wir die Hauptziele, wichtige Definitionen und andere Aspekte des POPIA verstehen.

Hauptziele des POPI-Gesetzes

Nach dem von der Regierung veröffentlichten offiziellen Dokument ist der Zweck des POPI-Gesetzes:

Gewährleistung des Schutzes von PI (Persönlichen Informationen), die von privaten oder öffentlichen Einrichtungen gesammelt werden. Diese Bedingung ist notwendig, um das Recht auf Privatsphäre zu gewährleisten, das die Verfassung des Landes jedem Bürger zugesteht.
Ein Gleichgewicht zwischen dem Recht auf Privatsphäre und anderen Rechten herstellen. Zu den anderen Rechten gehören der Zugang zu Informationen und der freie Fluss von Informationen innerhalb der nationalen Grenzen und darüber hinaus.
Einführung gesetzlicher Bestimmungen, die internationalen Standards entsprechen, um die Verarbeitung und Verwendung von PI zu regeln.
Bereitstellung von Rechten und Rechtsmitteln für Einzelpersonen, um gegen den Missbrauch ihrer PI in einer Weise vorzugehen, die den Bestimmungen dieses Gesetzes zuwiderläuft.
Einrichtung von Mechanismen, sowohl freiwilliger als auch obligatorischer Art, um die zuverlässige Umsetzung dieses Gesetzes zu gewährleisten.

Wichtige Definitionen im POPI-Gesetz

Wie bereits erwähnt, bezieht sich das Gesetz auf die Erhebung und Verarbeitung von PI. Die folgenden Abschnitte definieren und erläutern die entscheidenden Aspekte des POPIA.

Was sind "persönliche Informationen" (PI)

Auf Seite 14 des Dokuments, das den gesamten Text von POPIA enthält, werden PI als alle Informationen definiert, die es ermöglichen, eine natürliche Person zu identifizieren. In bestimmten Fällen ist damit auch eine juristische Person gemeint.
Eine juristische Person bedeutet eine gesetzlich anerkannte Organisation, die Rechte und Pflichten wie eine menschliche Person hat. Zum Beispiel kann eine Universität eine juristische Person sein, da sie das Recht hat, Eigentum zu besitzen usw.
Gemäß dem POPI-Gesetz umfassen personenbezogene Daten, ohne darauf beschränkt zu sein, Folgendes:

Demographische Angaben

Name
Alter/Geburtsdatum
Geschlecht
Rassische/ethnische Herkunft
Sprache
Religion
Nationalität
Farbe
Geschlechtsidentität
Sexuelle Orientierung
Familienstand
Schwangerschaft
Kulturelle Praktiken

Kontaktangaben

Physikalische Adresse und Standort
E-Mail-Adresse
Telefonnummer
Alle anderen Informationen, die es ermöglichen, die Kontaktdaten der Person in der realen oder virtuellen Welt zu identifizieren

Geschichte

Bildung
Beschäftigung
Finanzielles

Medizinische Vorgeschichte, einschließlich psychischer und physischer Gesundheit & Wohlbefinden

Glaubenssätze, Meinungen und Vorlieben der Person oder über die Person
Biometrische Informationen
Private und vertrauliche Korrespondenz, einschließlich weiterer Korrespondenz, aus der der Inhalt der ursprünglichen Korrespondenz und der Zweck hervorgehen können

Was bedeutet die "Verarbeitung" von PI?

"Verarbeitung" von PI bedeutet, PI zu sammeln, zu speichern, zu verwenden, zu verändern oder zu vernichten. Die Verarbeitung kann manuell oder auf automatisierte Weise erfolgen.

"Betroffene Person" und verwandte Begriffe

Das "Datensubjekt" ist die Person, deren Informationen gesammelt und verarbeitet werden. Die De-Identifizierung der betroffenen Person bedeutet, dass alle Informationen, die die Person identifizieren können, unwiederbringlich entfernt werden.
Ein weiterer wesentlicher Begriff in diesem Zusammenhang ist der "Unique Identifier". Das ist ein Identifikator, den ein Verantwortlicher einer betroffenen Person zuweist.

"Verantwortliche Stelle": Wer alles einhalten muss

Eine "verantwortliche Stelle" ist jede private oder öffentliche Behörde, die bestimmt, wie und warum eine PI verarbeitet werden muss. Egal, ob es sich um eine Einzelperson, ein Unternehmen oder eine staatliche Einrichtung handelt - sie gelten als "verantwortliche Stelle" im Umgang mit PI. Eine verantwortliche Stelle kann unabhängig oder in Zusammenarbeit mit anderen handeln. Die rechtliche Verantwortung für die Einhaltung der PI-Vorschriften bleibt jedoch unverändert.

Die acht Bedingungen von POPIA: Woran Sie sich halten müssen

Um POPIA einhalten zu können, ist es wichtig, die acht Grundprinzipien des Gesetzes genau zu verstehen. Diese Grundsätze bestimmen, wann die Verarbeitung von PI innerhalb der rechtlichen Parameter liegt.

Bedingung Nr. 1. Rechenschaftspflicht

Die Personen oder Organisationen, die mit PI umgehen, sind für die Einhaltung der POPI-Bestimmungen verantwortlich. Diese Bedingung gilt sowohl für die Entscheidung, PI zu verarbeiten, als auch für den Prozess, in dem dies geschieht.

Bedingung Nr. 2. Einschränkung der Verarbeitung

Die Verarbeitung von PI muss mit dem POPIA übereinstimmen
Der Prozess der Verarbeitung von PI muss sicherstellen, dass die Privatsphäre der Person nicht beeinträchtigt wird und die berechtigten Interessen der betroffenen Person gewahrt bleiben.
Bei der Verarbeitung von PI sollte immer das Prinzip der Minimierung angewendet werden. Dies bedeutet, dass nur die für den angegebenen Zweck unbedingt erforderlichen PI verwendet werden sollten.
Holen Sie die Zustimmung zur Verwendung von PI von der betroffenen Person oder einer befugten Person ein, wenn die betroffene Person unter 18 Jahre alt ist. Bewahren Sie den Nachweis der Zustimmung auf.
Die betroffene Person kann der Verwendung von PI jederzeit widersprechen und ihre Einwilligung zurückziehen. Sobald dies geschieht, muss die Verarbeitung dieser PI eingestellt werden.
Erheben Sie die Daten direkt bei der betroffenen Person, es sei denn, Sie haben deren Einwilligung, die Daten bei einem Dritten zu erheben.

Hinweis: Diese Bedingung muss bei der Verarbeitung von PI, die die betroffene Person freiwillig auf öffentlichen Plattformen zur Verfügung gestellt hat, nicht beachtet werden. Diese Bedingung gilt auch nicht, wenn die Erhebung von PI bei einem Dritten für ein Gerichtsverfahren oder zur Erfüllung einer öffentlichen Aufgabe erforderlich ist.

Bedingung Nr. 3: Zweckbestimmung

Sie dürfen PI nur für einen ausdrücklich angegebenen Zweck sammeln. Alle betroffenen Personen müssen sich dieses Zwecks bewusst sein und ihm zustimmen. Die zeitliche Begrenzung ist ein weiteres wichtiges Merkmal, an das Sie denken müssen. Sie dürfen PI nur so lange aufbewahren, wie Sie sie für den angegebenen Zweck benötigen. Nach Ablauf der Frist müssen Sie die Daten so löschen, vernichten oder de-identifizieren, dass sie nicht mehr auffindbar sind.

Bedingung Nr. 4: Einschränkung der Weiterverarbeitung

Sie dürfen PI nur für den angegebenen Zweck verarbeiten, für den Sie sie sammeln und für den Sie die Einwilligung der betroffenen Person haben. Die Verarbeitung für jeden weiteren Zweck bedarf der Einwilligung der betroffenen Person.
Die einzigen Ausnahmen sind:

Wenn die Verarbeitung von PI über den angegebenen Zweck hinaus eine gesetzliche Verpflichtung ist
Die Verarbeitung ist für die nationale Sicherheit erforderlich.

Bedingung Nr. 5: Qualität der Informationen

Die PI, die Sie mit Einwilligung der betroffenen Person erheben und verarbeiten, muss richtig, vollständig, aktuell und nicht irreführend sein.

Bedingung Nr. 6: Offenheit

Diese Bedingung bezieht sich auf die Verarbeitung der PI, die mit Zustimmung der betroffenen Person erhoben wurde. Der für die Datenverarbeitung Verantwortliche muss eine solide Dokumentation der Datenverarbeitung führen. Der Datenverarbeiter ist auch dafür verantwortlich, die betroffene Person darüber zu informieren:

Name und Anschrift des Datenverarbeiters: Dies bezieht sich auf die Stelle, die die Informationen sammelt, nicht auf die Person
Der Zweck der Datenerhebung
Das Gesetz und die rechtlichen Bestimmungen, die es Ihnen erlauben, Informationen zu sammeln
Wo Sie Informationen sammeln und wo nicht
Die Quelle Ihrer Informationen
Ob die Weitergabe von Informationen obligatorisch oder freiwillig ist
Die Konsequenzen, wenn die betroffene Person die Weitergabe von Informationen verweigert
Ob und wann Sie beabsichtigen, die Informationen an ein anderes Land weiterzugeben

Der Verantwortliche muss alle diese Informationen weitergeben, bevor er personenbezogene Daten sammelt. Außerdem muss die verantwortliche Partei über eine Datenschutzrichtlinie verfügen.

Bedingung Nr. 7: Sicherheitsgarantien

Diese Bedingung beschreibt die notwendigen Maßnahmen zum Schutz der Sicherheit der PI. Um sie zu erfüllen, müssen Sie:

Eine Risikobewertung durchführen
Sicherheitsmaßnahmen anwenden und aufrechterhalten, um den festgestellten Risiken zu begegnen
Die Wirksamkeit der getroffenen Maßnahmen überprüfen
Für regelmäßige Aktualisierungen sorgen

Jeder Dritte, der PI für die verantwortliche Partei verarbeitet, muss vertraglich verpflichtet werden, die verantwortliche Partei unverzüglich zu benachrichtigen, wenn eine Datenverletzung vorliegt. Liegt eine tatsächliche oder vermutete Datenverletzung vor, sollte die verantwortliche Stelle dies unverzüglich melden:

Schriftlich die Aufsichtsbehörde benachrichtigen
Benachrichtigen Sie die betroffene(n) Person(en) schriftlich

Wichtiger Hinweis:

"Restdaten" im Inneren eines gebrauchten Speichermediums stellen ein erhebliches Risiko für den Verlust sensibler Daten dar. Restdaten sind die Informationen, die nach dem Löschen, Formatieren oder Zurücksetzen auf die Werkseinstellungen im Speichermedium verbleiben.

Diese Restinformationen, die oft sensible Daten enthalten, sind ständig dem Risiko einer Datenschutzverletzung ausgesetzt; Bedrohungsvektoren wie Datenmakler und illegale Data Miner können sensible Daten mithilfe gängiger Wiederherstellungstechniken abrufen und Sie für einen Verstoß gegen das POPI-Gesetz haftbar machen.

Dieses Risiko einer Datenschutzverletzung kann sich verwirklichen, wenn ein gebrauchtes Gerät durch Ereignisse wie Weiterverkauf, Rückgabe von geleaster Hardware, interne Neuzuweisung, Austausch, Spende oder Entsorgung usw. den primären Verwahrer wechselt.

Systematische Datenlöschung ist eine wirksame Lösung, um dieses Risiko einer Datenverletzung durch die dauerhafte Vernichtung sensibler und überflüssiger personenbezogener Daten im Einklang mit Vorschriften wie dem POPI Act, GDPR usw. zu mindern.

Zusätzlich lesen: Erfüllen Sie die GDPR-Vorschriften mit sicherer Datenlöschung

Bedingung Nr. 8: Beteiligung der betroffenen Person

Diese Bedingung beschreibt die Rechte der Personen, deren Informationen gesammelt werden. Eine betroffene Person hat das Recht, auf die gesammelten PI zuzugreifen. Eine betroffene Person kann auch die Berichtigung, Ergänzung oder Aktualisierung der gesammelten Informationen verlangen.
Teil B der Bedingung 8 verbietet die Verarbeitung und Verwendung besonderer personenbezogener Daten wie Weltanschauung, politische Überzeugungen, Rasse, ethnische Herkunft, medizinische Daten usw. Teil C bezieht sich auf die PI von Kindern.

Wer muss POPIA einhalten und Ausnahmen?

Wie bereits erläutert, gilt POPIA für alle Personen und Organisationen, die Daten sammeln und nutzen, insbesondere für kommerzielle Zwecke.

Die im Gesetz genannten Ausnahmen beziehen sich auf vier Bereiche:

Daten, die aus persönlichen Gründen verarbeitet werden.
Daten, die unwiederbringlich de-identifiziert wurden
Daten, die eine öffentliche Stelle für Zwecke der Strafverfolgung, der Justiz oder der nationalen Sicherheit verarbeiten muss.
Daten, die das Kabinett und seine Ausschüsse oder der Exekutivrat einer Provinz verarbeiten müssen.

Verstöße & Strafen nach dem POPI-Gesetz

Nichtbeachtung des Gesetzes kann schwerwiegende Folgen haben. Nachfolgend sind die kritischen Verstöße aufgeführt, die in den Abschnitten 100 bis 106 des POPI-Gesetzes beschrieben sind:

Hindernis, Behinderung oder rechtswidrige Beeinflussung der Aufsichtsbehörde
Nichterfüllung eines Vollstreckungsbescheids
Vergehen von Zeugen, wie das Nichterscheinen zu Anhörungen
Illegale Handlungen in Bezug auf die Kontonummern

Verstöße gegen das Gesetz können mit Geldstrafen von bis zu 10 Millionen ZAR oder zehn Jahren Haft oder beidem geahndet werden.

Status des POPI-Gesetzes im Jahr 2020

Die Abschnitte 39-54 des POPIA-Gesetzes befassen sich mit der Ernennung des Informationsregulators. Diese sind im April 2014 in Kraft getreten.
Die Informationsregulierungsbehörde übernimmt als Einrichtung die Verantwortung für:

Aufklärung aller Beteiligten über das POPI-Gesetz
Überwachung und Durchsetzung der Einhaltung
Die Durchführung der für die wirksame Umsetzung des Gesetzes relevanten Forschung
Erleichterung der grenzüberschreitenden Zusammenarbeit im Bereich der Sicherheit personenbezogener Daten

Am 7. September 2016 hat die südafrikanische Nationalversammlung die Ernennung der Mitglieder der Informationsregulierungsbehörde genehmigt. Am 1. Dezember 2016 wurde der Information Regulator mit zwei Vollzeit- und zwei Teilzeitmitgliedern ernannt.

Alle anderen Abschnitte, die sich auf die oben beschriebenen Kernbestimmungen des Gesetzes beziehen, traten am 1. Juli 2020 in Kraft. Diese Abschnitte sind: 2-38, 55-109, 111, und 114(1), (2), und (3)

Abschnitt 114(1) des POPIA betont, dass alle öffentlichen und privaten Einrichtungen das Gesetz bis zum 1. Juli 2021 einhalten müssen.

Die Paragrafen 110 und 114 (4) treten ab dem 30. Juni 2021 in Kraft. Die Durchsetzung dieser Abschnitte erfordert eine Änderung des Gesetzes zur Förderung des Zugangs zu Informationen (PAIA) aus dem Jahr 2000. Eine solche Änderung ist notwendig, um bestimmte Funktionen des PAIA von der Südafrikanischen Menschenrechtskommission auf die Informationsregulierungsbehörde zu übertragen.

Mitteilung für CIOs

Das POPI-Gesetz bleibt das letzte Wort für öffentliche und private Einrichtungen, die in Südafrika mit personenbezogenen Daten arbeiten und diese verarbeiten. Das Gesetz enthält strenge Vorschriften für die Verarbeitung personenbezogener Daten, einschließlich ihrer Erhebung, Speicherung, Verwendung, Änderung und Vernichtung.

Um POPI-Compliance zu erreichen, müssen Sie als Organisation einen 360-Grad-Blick darauf haben, wie Daten in Ihren Gewahrsam gelangen und ihn verlassen. Die Erfüllung der acht in diesem Artikel beschriebenen Bedingungen ist entscheidend für die Einhaltung der POPIA-Richtlinien. Kurz gesagt, eine starke Governance, von der Datenerfassung, -speicherung und -nutzung bis hin zur Änderung und De-Identifizierung, ist die Grundlage für die Einhaltung von POPIA.

Was this article helpful?