Was ist das Datenschutzgesetz von POPIA – Südafrika?

Table of Contents

Im Juli 2020 verabschiedete das südafrikanische Parlament POPIA. Es ist das neueste und bekannteste Datenschutzgesetz des Landes, das die personenbezogenen Daten von Südafrikanern regelt. Mit einer Reihe neuer Datenschutzgesetze, die weltweit in Kraft treten – wie die DSGVO und der CCPA – ist dies die jüngste Ergänzung, die die südafrikanischen Vorschriften verbessert, um neue globale Normen widerzuspiegeln.

Alle Organisationen, die in Südafrika tätig sind, müssen über die neuen Standards Bescheid wissen und diese einhalten. Andernfalls riskieren sie erhebliche Strafen und Konsequenzen.

Was ist POPIA?

POPIA (Protection of Personal Information Act) wurde erstmals 2013 verabschiedet. Nach sieben Jahren in der rechtlichen Schwebe trat das Gesetz jedoch schließlich im Juli 2020 in Kraft, mit einer einjährigen Schonfrist, um die Einhaltung zu erleichtern. Schlimmer noch, POPIA wurde erstmals im Jahr 2003 entworfen und durchlief zahlreiche Iterationen.

In seiner jetzigen Form zielt das Gesetz darauf ab, südafrikanischen Bürgern Rechte über ihre personenbezogenen Daten zu geben, einschließlich des Rechts auf Berichtigung, Zugang und Löschung aller personenbezogenen Daten, die eine Organisation besitzt.

Darüber hinaus müssen Organisationen nicht innerhalb Südafrikas ansässig sein, damit das Gesetz anwendbar ist. Wie bei der DSGVO muss jede Organisation, die über personenbezogene Daten südafrikanischer Staatsbürger verfügt, mit POPIA konform sein.

Welche Rechte haben betroffene Personen im Rahmen von POPIA?

Wie andere Datenschutzgesetze verankert auch POPIA bestimmte unveräußerliche Rechte der betroffenen Personen. Diese garantieren eine bessere Kontrolle über die Erfassung, Verwendung und Weitergabe personenbezogener Daten an Einzelpersonen und sorgen für mehr Transparenz seitens der Organisationen.

Gemäß Kapitel 2 Absatz 5 umfasst POPIA das Recht (wichtige Aussagen fett hervorgehoben):

  1. benachrichtigt zu werden, dass
    1. personenbezogene Daten über ihn, sie oder sie gemäß § 18 erhoben werden; oder
    2. seine personenbezogenen Daten von einer unbefugten Person gemäß § 22 abgerufen oder erworben wurden ;
  2. festzustellen, ob ein Verantwortlicher über personenbezogene Daten dieser betroffenen Person verfügt, und Zugang zu ihren personenbezogenen Daten gemäß Artikel 23 zu verlangen ;
  3. erforderlichenfalls die Berichtigung, Vernichtung oder Löschung seiner personenbezogenen Daten gemäß Artikel 24 zu verlangen;
  4. aus triftigen Gründen, die sich aus seiner besonderen Situation ergeben, gegen die Verarbeitung seiner personenbezogenen Daten gemäß Abschnitt 11 Absatz 3 Buchstabe a Widerspruch einzulegen;
  5. der Verarbeitung seiner personenbezogenen Daten zu widersprechen
    1. jederzeit zum Zwecke des Direktmarketings im Sinne von § 11 Abs. 3 lit. b; oder
    2. im Sinne von § 69 Abs. 3 Buchst. c;
  6. seine, ihre oder ihre personenbezogenen Daten nicht zu Zwecken des Direktmarketings mittels unerwünschter elektronischer Kommunikation verarbeiten zu lassen, außer in den in § 69 Abs. 1 genannten Fällen;
  7. unter bestimmten Umständen nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf der automatisierten Verarbeitung seiner personenbezogenen Daten beruht, die dazu dient, ein Profil dieser Person gemäß Artikel 71 zu erstellen;
  8. eine Beschwerde bei der Regulierungsbehörde über den angeblichen Eingriff in den Schutz der personenbezogenen Daten einer betroffenen Person einzureichen oder eine Beschwerde bei der Regulierungsbehörde in Bezug auf die Bestimmung eines Schiedsrichters gemäß Abschnitt 74 einzureichen; und
  9. ein Zivilverfahren wegen des behaupteten Eingriffs in den Schutz seiner oder ihrer personenbezogenen Daten gemäß § 99 einzuleiten.

Kurz gesagt, das Gesetz garantiert einer betroffenen Person das Recht auf eine aussagekräftige Einwilligung in die Erhebung, Verwendung oder den Zugriff auf ihre Daten. Sie können auch die Vernichtung oder Berichtigung ihrer Daten verlangen. Und in Fällen, in denen ihre Rechte verletzt werden, haben sie das Recht, eine Beschwerde einzureichen und die betreffende Organisation zu verklagen.

Was gilt im Rahmen von POPIA als personenbezogene Daten?

Die meisten Datenschutzgesetze haben bei der Definition personenbezogener Daten eine breite Haltung eingenommen. POPIA ist da nicht anders. Dabei umfasst es „jede Art von Informationen, die sich auf eine identifizierbare, lebende natürliche Person, ein Unternehmen oder eine ähnliche juristische Person beziehen“.

Zum Beispiel:
– Namen, Adressen, E-Mail-Adressen oder Telefonnummern
– Identitätsmerkmale: Geschlecht, Alter, ethnische Zugehörigkeit, sexuelle Orientierung, politische Überzeugungen usw.
– Gesundheitsdaten
– Online-Identifikatoren: Cookies, IP-Adressen, Browserverlauf, Standortdaten usw.

Sanktionen und Durchsetzung im Rahmen des POPIA

Nach der DSGVO können die verhängten Geldstrafen erheblich sein. POPIA sieht niedrigere Geldstrafen vor, sieht aber die Möglichkeit von Freiheitsstrafen oder Strafen für Schuldige vor.

Für Verstöße und Verstöße ist die Informationsregulierungsbehörde zuständig, und sie ist es, die monetäre und strafrechtliche Sanktionen verhängt.

Gemäß § 109 beträgt die Höchststrafe für Verstöße 10 Mio. ZAR (ca. 490.000 €). In der Zwischenzeit besagt Abschnitt 107, dass bestimmte Verstöße zu einer Gefängnisstrafe von bis zu 10 Jahren führen können.

Alle Beschwerden von betroffenen Personen müssen zunächst bei der Aufsichtsbehörde eingereicht werden, die dann mit der Untersuchung des Falls beauftragt wird. Dann muss die Regulierungsbehörde entscheiden, ob sie mit der Maßnahme fortfährt oder von weiteren Strafen absieht.

Schlussfolgerung

Nachdem POPIA endlich in Kraft getreten ist, muss eine Organisation, die in Südafrika tätig ist, deren Einhaltung sicherstellen. Glücklicherweise werden diejenigen, die bereits DSGVO-konform sind, kaum einen Unterschied zwischen den beiden Handlungen feststellen. Tatsächlich spiegeln sich die acht Bedingungen der DSGVO für eine rechtmäßige Datenverarbeitung in POPIA wider.

Kurz gesagt, um sicherzustellen, dass Sie mit POPIA konform sind:

  1. Bitten Sie immer um eine informierte, aussagekräftige Einwilligung.
  2. Bieten Sie die Möglichkeit, die Einwilligung jederzeit zu widerrufen.
  3. Halten Sie die betroffenen Personen über Änderungen der Datenverarbeitung auf dem Laufenden.
  4. Verarbeiten Sie Daten nur gemäß den angegebenen Bedingungen und den Rechten der betroffenen Person.

Befolgen Sie diese vier einfachen Schritte, und Sie werden den größten Teil des Weges zur vollständigen POPIA-Konformität zurückgelegt haben. Weitere Informationen zu dem Gesetz finden Sie in der ursprünglichen Gesetzgebung hier.

Quellen:
https://popia.org/application-provisions/#S5
https://altadvisory.africa/popia/
https://popia.co.za/
https://www.payfast.co.za/blog/what-is-popia-and-how-does-it-affect-your-online-business/
https://www.tessian.com/blog/ultimate-guide-to-the-popia-south-africas-privacy-law/
https://popiachecklist.co.za/what-is-popia/
https://popia.org/directory/

Sales & Support