Na vele probeerslae deur die jare (neem die COVID-pandemie wat hierdie jaar die mees onlangse vertraging veroorsaak het), het die handhawingsbepalinge van POPI (die Wet op die Beskerming van Persoonlike Inligting) uiteindelik wet geword.
Die grasietydperk van ‘n jaar wat toegestaan word vir nakoming is besig om uit te loop . Elke onderneming moet bewus wees van die wesenlike implikasies van POPI-nakoming, en van die ewe aansienlike boetes en risiko’s verbonde aan nie-nakoming.
Lees die kort oorsig van hoe “persoonlike inligting” gedefinieër word, van die agt beginsels onderliggend aan die Wet, asook die verskillende praktiese kwessies waarvan jy bewus van moet wees en moet voorberei.
Regerings reageer wêreldwyd op die groot hoeveelhede inligting wat die openbare domein oorstroom, as gevolg van die groei in maatskappye soos Amazon, Facebook en Twitter. Aangesien baie van hierdie inligting persoonlik is, wil POPI reguleer hoe hierdie persoonlike inligting verwerk en gestoor word.
Suid-Afrika het, soos baie lande, ‘n grondwetlike mandaat om die reg op privaatheid te beskerm en POPI is daarop gemik om hierdie reg te balanseer met die noodsaaklikheid van die verwerking van persoonlike inligting (salarisse van werknemers is ‘n voorbeeld hiervan).
Met die Wet wat nou in werking is, het jy ‘n tydperk van twaalf maande om aan POPI te voldoen. Teen 1 Julie 2021 moet alle entiteite wat persoonlike inligting verwerk, voldoen aan die Wet.
Dit het aansienlike gevolge vir besighede en sal duur en tydrowend wees om te implementeer. Hiermee ‘n oorsig:
- Wat is eerstens persoonlike inligting? POPI definieer dit as die volgende:
- ‘n Persoon se naam (insluitend ‘n regspersoon soos ‘n maatskappy),
- Kontakbesonderhede,
- Godsdiens,
- Seksuele oriëntasie,
- Persoonlike sienings,
- Privaat korrespondensie,
- Gesondheidsrekords,
- Indiensnemingsrekords,
- Finansiële rekords,
- Biometrie (DNA, vingerafdrukke)
- Daar is agt selfverduidelikende beginsels wat die wet beheer:
- Aanspreeklikheid
- Beperkings rondom verwerking van inligting
- Doel
- Verdere beperkings rondom verwerking van inligting
- Kwaliteit van Inligting
- Deursigtigheid
- Sekuriteit
- Reg van toegang
- Verdere beperkings geld vir die gebruik van “spesiale persoonlike inligting” soos politieke verbintenis of seksuele oriëntasie.
- ‘n Regulerende instansie bekend as die Inligtingsreguleerder is gestig met die volgende bevoegdhede en pligte:
- Deursoekings- en beslagleggingsmagte
- Mag administratiewe boetes oplê
- Mag namens die onderwerp dagvaar
- Kan besluit of die Wet nagekom word
- Ontvang en handel oor klagtes
- Mag kennisgewings uitreik
Dit is ‘n kriminele oortreding om vals verklarings aan die Reguleerder te maak of om nie aan kennisgewings van die Reguleerder te voldoen nie.
- Die aanstelling van ‘n inligtingsbeampte.
Ingevolge POPI word dit geag die hoof van die organisasie te wees, soos die Hoof Uitvoerende Beampte of alleeneienaar. Hierdie persoon kan dit aan ‘n ander persoon delegeer. Die inligtingsbeampte moet by die Reguleerder registreer.
Die rol van hierdie standpunt is om die Wet aan te moedig en te verseker, om vrae van buite die organisasie te hanteer oor aangeleenthede rakende POPI, om met die Reguleerder te skakel en te handel soos daar voorgeskryf is.
- POPI maak voorsiening vir die gebruik van persoonlike inligting oor grense heen
- Wat direkte bemarking betref, is daar ‘n klousule wat vereis dat persone moet kies om deel te neem (“opt-in”). Dit is teenstrydig met die huidige wette waar die norm is om te kan kies om nie ingesluit te wees nie (“opt-out”). Dit beteken dat toestemming verkry moet word van mense wie se inligting gebruik sal word voordat direkte bemarking plaasvind. Die enigste uitsondering is ten opsigte van bestaande klante / kliënte.
Hierdie oorgangstydperk gaan veeleisend vir ondernemings wees. Besighede sal moet bepaal watter inligting binne die Wet val, hoe dit gebruik word, beskerm en geberg word en wie toegang daartoe het. Ondernemings sal ook die nodige toestemming moet kry van personeel en ander belanghebbendes.
Watter privaatheidsverklarings moet jy maak, watter protokolle moet jy op jou inligting en webwerf instel?
Aangesien daar swaar boetes is (‘n boete van tot R10 miljoen of tien jaar gevangenisstraf) en hierdie vereistes betrekking het op die veiligheid van jou personeel (onder andere) se inligting, is dit dus die moeite werd om tyd te spandeer en advies te neem om die regte prosedures te begin plek nou.