Hvad er POPIA – Sydafrikas databeskyttelseslov?

Table of Contents

I juli 2020 vedtog det sydafrikanske parlament POPIA. Det er landets seneste og mest fremtrædende databeskyttelseslov, der regulerer sydafrikanernes personoplysninger. Med en række nye databeskyttelseslove, der træder i kraft over hele verden – såsom GDPR og CCPA – markerer dette den seneste tilføjelse, der forbedrer sydafrikanske regler for at afspejle nye globale normer.

Alle organisationer, der opererer i Sydafrika, skal være vidende om og overholde de nye standarder. Ellers risikerer de at pådrage sig betydelige sanktioner og konsekvenser.

Hvad er POPIA?

POPIA, eller Protection of Personal Information Act, blev først vedtaget i 2013. Men efter syv år i juridisk limbo trådte loven endelig i kraft i juli 2020 med en etårig henstandsperiode for at hjælpe med overholdelsen. Endnu værre er det, at POPIA først blev udarbejdet tilbage i 2003 og gennemgik adskillige iterationer.

I sin nuværende form har loven til formål at give sydafrikanske borgere rettigheder over deres personlige data, herunder ret til at rette, få adgang til og slette alle personlige oplysninger, som en organisation måtte besidde.

Desuden behøver organisationer ikke at være placeret i Sydafrika for at loven kan finde anvendelse. Ligesom GDPR skal enhver organisation, der besidder sydafrikanske borgeres personlige data, være i overensstemmelse med POPIA.

Hvilke rettigheder har de registrerede i henhold til POPIA?

Ligesom andre love om databeskyttelse indeholder POPIA visse umistelige rettigheder for registrerede. Disse garanterer større kontrol med indsamling, brug og videregivelse af personoplysninger til enkeltpersoner og sikrer større gennemsigtighed fra organisationer.

I henhold til kapitel 2(5) indeholder POPIA retten (vigtige udsagn fremhævet med fed skrift):

  1. skal meddeles, at
    1. personoplysninger om ham, hende eller de indsamles i henhold til § 18; eller
    2. hans, hendes eller dens personlige oplysninger er blevet tilgået eller erhvervet af en uautoriseret person som fastsat i henhold til afsnit 22;
  2. at fastslå, om en ansvarlig part har personoplysninger om den registrerede og at anmode om adgang til vedkommendes personoplysninger som fastsat i afsnit 23;
  3. om nødvendigt at anmode om berigtigelse, tilintetgørelse eller sletning af sine personlige oplysninger som fastsat i afsnit 24;
  4. af rimelige grunde, der vedrører vedkommendes særlige situation, at gøre indsigelse mod behandlingen af vedkommendes personoplysninger som fastsat i § 11, stk. 3, litra a)
  5. at gøre indsigelse mod behandlingen af sine personoplysninger,
    1. til enhver tid med henblik på direkte markedsføring i henhold til § 11, stk. 3, litra b) eller
    2. i henhold til § 69, stk. 3, litra c)
  6. ikke at få sine personoplysninger behandlet med henblik på direkte markedsføring ved hjælp af uopfordret elektronisk kommunikation , medmindre andet er omhandlet i § 69, stk. 1;
  7. under visse omstændigheder ikke at være genstand for en afgørelse, der udelukkende er baseret på den automatiserede behandling af vedkommendes personoplysninger, der har til formål at give en profil af en sådan person som fastsat i § 71;
  8. at indgive en klage til tilsynsmyndigheden vedrørende den påståede indblanding i beskyttelsen af personoplysninger om enhver registreret eller at indgive en klage til tilsynsmyndigheden vedrørende en afgørelse af en dommer som fastsat i henhold til afsnit 74; og
  9. at anlægge et civilt søgsmål vedrørende det påståede indgreb i beskyttelsen af vedkommendes personoplysninger som fastsat i § 99.

Kort sagt garanterer loven en registreret ret til meningsfuldt samtykke til indsamling, brug eller adgang til deres data. De kan også anmode om tilintetgørelse eller berigtigelse af deres oplysninger. Og under omstændigheder, hvor deres rettigheder krænkes, har de ret til at indgive en klage og sagsøge den pågældende organisation.

Hvad betragtes som personoplysninger under POPIA?

De fleste love om databeskyttelse har indtaget en bred holdning, når de definerer personoplysninger. POPIA er ikke anderledes. Her omfatter det “enhver form for information vedrørende en identificerbar, levende fysisk person, virksomhed eller lignende juridisk enhed.”

For eksempel:
– Navne, adresser, e-mail eller telefonnumre
– Identitetsmarkører: køn, alder, etnicitet, seksuel orientering, politisk overbevisning osv.
– Sundhedsdata
– Online-identifikatorer: cookies, IP-adresser, browserhistorik, placeringsdata osv.

Sanktioner og håndhævelse i henhold til POPIA

I henhold til GDPR kan de økonomiske sanktioner være betydelige. POPIA indeholder lavere økonomiske sanktioner, men fastsætter muligheden for fængsel eller sanktioner for skyldige parter.

Overtrædelser og manglende overholdelse er informationstilsynsmyndighedens ansvar, og det er dem, der administrerer økonomiske og strafferetlige sanktioner.

I afsnit 109 hedder det, at den maksimale bøde for overtrædelse er 10 millioner ZAR (ca. 490.000 EUR). I mellemtiden siger paragraf 107, at visse overtrædelser kan resultere i en fængselsstraf på op til 10 år.

Alle klager fra registrerede skal først indsendes til tilsynsmyndigheden, som derefter får til opgave at undersøge sagen. Derefter skal tilsynsmyndigheden beslutte, om han vil fortsætte med handlingen eller afstå fra yderligere sanktioner.

Konklusion

Efter at POPIA endelig træder i kraft, skal en organisation, der opererer i Sydafrika, sikre, at de overholder reglerne. Heldigvis vil de, der allerede er GDPR-kompatible, ikke finde nogen forskel mellem de to love. Faktisk er GDPR’s otte betingelser for lovlig databehandling afspejlet i POPIA.

Kort sagt, for at garantere, at du er i overensstemmelse med POPIA:

  1. Bed altid om informeret, meningsfuldt samtykke.
  2. Giv mulighed for at tilbagekalde samtykke til enhver tid.
  3. Holde de registrerede informeret om eventuelle ændringer i databehandlingen.
  4. Behandl kun data i henhold til de angivne betingelser og den registreredes rettigheder.

Følg disse fire enkle trin, og du vil være det meste af vejen mod fuldstændig POPIA-compliance. For yderligere oplysninger om loven henvises til den oprindelige lovgivning her.

Kilder:
https://popia.org/application-provisions/#S5
https://altadvisory.africa/popia/
https://popia.co.za/
https://www.payfast.co.za/blog/what-is-popia-and-how-does-it-affect-your-online-business/
https://www.tessian.com/blog/ultimate-guide-to-the-popia-south-africas-privacy-law/
https://popiachecklist.co.za/what-is-popia/
https://popia.org/directory/

Sales & Support