Das südafrikanische Gesetz zum Schutz personenbezogener Daten (POPIA) zielt darauf ab, den Bürgern Südafrikas mehr Kontrolle über ihre Daten zu geben und verlangt von jeder Organisation, die persönliche Daten in Südafrika, um diese Daten zu schützen. Der POPIA konzentriert sich auf die Datenschutzrechte der betroffenen Personen und trat am 1. Juli 2020 in Kraft, da der südafrikanische Präsident erklärte, dass die Durchsetzung von POPIA am 1. Juli 2021 erfolgen werde.
Das POPIA ist vergleichbar mit dem der Europäischen Union (EU) Allgemeine Datenschutzverordnung (GDPR) und leitet sich von vielen der grundlegenden Prinzipien ab. Es besteht darin, seinen Bürgern spezifische Rechte an ihren persönlichen Daten, Anforderungen an die Datenverarbeitung, Definition personenbezogener Daten zum Schutz der Endbenutzer, Geldstrafen bei Datenschutzverletzungen und die Gründung des Information Regulator (SAIR) zur Durchsetzung und Überwachung der neuen Gesetze.
Für viele innerhalb und außerhalb Südafrikas tätige Organisationen ist das Verständnis der Unterschiede und Gemeinsamkeiten von entscheidender Bedeutung für eine angemessene Vorbereitung und Einhaltung der Vorschriften.
Es gibt wichtige Ähnlichkeiten und Unterschiede zwischen POPIA und der DSGVO:
Persönlich werden mit PII (POPIA-personenbezogene Daten vs. GDPR-personenbezogene Daten)
- POPIA gilt für die personenbezogene Daten jeder Person – unabhängig von ihrer Nationalität. Während die DSGVO nur EU-Bürger schützen soll, gilt POPIA für alle Personen, deren personenbezogene Daten auf südafrikanischem Territorium oder von einem südafrikanischen Unternehmen verarbeitet werden.
- Während sowohl POPIA als auch GDPR die Definition von Daten in persönliche Informationen und besondere persönliche Informationen (oder sensible Daten In der DSGVO werden durch POPIA auch Straftaten gefährdeter Informationen zugeordnet.
Datenschutz
- Sowohl POPIA als auch GDPR legen nur sehr allgemeine Bestimmungen fest Datensicherheit Anforderungen, indem Sie lediglich erklären, dass Sie geeignete technische und organisatorische Maßnahmen zum Schutz der in Ihrem Besitz befindlichen personenbezogenen Daten ergreifen müssen.
- POPIA verpflichtet alle Unternehmen und Organisationen zur Ernennung eines Informationsbeauftragten (automatisch dem CEO zugewiesen). Dessen Rolle und Verantwortlichkeiten unterscheiden sich in wichtigen Punkten vom Datenschutzbeauftragten der DSGVO. Darüber hinaus verpflichtet POPIA Unternehmen und Organisationen zur Ernennung eines stellvertretenden Informationsbeauftragten.
Meldung von Verstößen
- Das POPIA-Verfahren zur Meldung einer Datenschutzverletzung ähnelt dem DSGVO-Verfahren, bei dem Sie im Allgemeinen sowohl die zuständige Aufsichtsbehörde als auch die von der Verletzung betroffenen Personen benachrichtigen müssen.
- Laut POPIA müssen Sie dies so schnell wie möglich tun, nachdem Sie von dem Verstoß erfahren haben. Die DSGVO schreibt jedoch vor, dass Sie Ihre Aufsichtsbehörde innerhalb einer begrenzten Frist von 72 Stunden benachrichtigen müssen.
Strafen: POPIA vs. DSGVO
- Die Geldstrafe für einen POPIA-Verstoß kann bis zu $10 Millionen ZAR (Südafrikanische Rand) betragen, was deutlich niedriger ist als eine mögliche DSGVO-Bußgeld, die einen weltweiten Jahresumsatz von bis zu 20 Millionen Euro oder 41 TP3 Billionen erreichen können.
- Im Vergleich dazu konzentrieren sich die DSGVO-Sanktionen direkter auf Verstöße. Dennoch können die europäischen Strafverfolgungsbehörden bei der Festsetzung von Bußgeldern den Grad der Kooperation und Nachweisbarkeit berücksichtigen, den ein Unternehmen bei seinen Ermittlungen zeigt.
- Nach südafrikanischem Recht können Personen strafrechtlich zur Verantwortung gezogen und in schwereren Fällen zu Gefängnisstrafen von bis zu zehn Jahren verurteilt werden. POPIA-Sanktionen gelten für Verstöße und eine Reihe weiterer Straftaten, darunter die Behinderung, Behinderung oder unrechtmäßige Beeinflussung von Vollstreckungsbeamten, die unter Eid nicht zu Gerichtsverhandlungen erscheinen.
Vorbereitung auf POPIA
Haben Sie einen Daten-Footprint in Südafrika? Viele Organisationen haben bereits die notwendigen Anpassungen vorgenommen, um bestehende globale Vorschriften einzuhalten, wie zum Beispiel: CPRA, CDPA, LGDPund GDPRUnabhängig davon ist es wichtig, eine proaktive Datenschutzstrategie anzuwenden, um die besonderen Anforderungen von POPIA zu erfüllen und diese in die bestehenden Datenschutzbestimmungen zu integrieren, anstatt nur zu reagieren.
Holen Sie sich ein 1:1-Demo um zu sehen, wie BigID Unternehmen dabei hilft, die kommenden Anforderungen zur POPIA-Konformität zu erfüllen und ein proaktives Datenschutzprogramm für bestehende und sich entwickelnde Unternehmen aufzubauen Vorschriften.
Autor
