Die Südafrikanisches Gesetz zum Schutz personenbezogener Daten (POPIA) Der Schwerpunkt liegt auf den Datenschutzrechten für Betroffene in Südafrika und bietet südafrikanischen Bürgern eine bessere Kontrolle über ihre personenbezogenen Daten. Das POPIA verpflichtet zudem jede Organisation, die in Südafrika personenbezogene Daten verarbeitet, zum Schutz dieser Daten.
Was ist POPIA?
Die endgültige Version von Südafrikas POPIA Das neue Datenschutzgesetz, das am 1. Juli 2021 in Kraft tritt, ist das neueste wichtige Datenschutzgesetz der Welt, das eng an das der EU angelehnt ist. GDPR.
Das Gesetz gibt den Bürgern – oder den Betroffenen – durchsetzbare Rechte an ihren persönlichen Daten, legt acht Mindestanforderungen für die Datenverarbeitung fest (z. B. Einführung der Einwilligung als erforderliche Rechtsgrundlage), schafft eine breite Definition personenbezogener Daten für einen umfassenden Schutz der Endnutzer und richtet eine Informationsaufsichtsbehörde (SAIR) zur Durchsetzung und Überwachung der Bestimmungen ein.
Personenbezogene Daten und sensible personenbezogene Daten
POPIA gilt für alle Unternehmen und Organisationen Verarbeitung personenbezogener Daten in Südafrika, der im Land wohnt oder der nicht im Land wohnt, aber automatisierte oder nicht automatisierte Mittel zur Datenverarbeitung in Südafrika nutzt.
POPIA definiert persönliche Daten Im weitesten Sinne alle Informationen, die sich nicht nur auf eine lebende Person, sondern auch auf ein Unternehmen oder eine juristische Person beziehen.
Personenbezogene Daten umfassen sowohl im Rahmen von POPIA als auch der DSGVO Daten, die eine bestimmte Person identifizieren oder Daten, die eine Person erkennbar machen. Während POPIA auch eine ähnliche Definition von personenbezogenen Daten und besonderen personenbezogenen Informationen (oder sensible Daten In der DSGVO) legt das südafrikanische Gesetz einige strenge Anforderungen fest, die sensible und gefährdete Daten als Straftatbestände einstufen.
Datenverarbeitung
POPIA definiert Datenverarbeitung als das Sammeln, Empfangen, Aufzeichnen, Organisieren, Speichern, Zusammenführen, Verknüpfen und mehr personenbezogener Daten. POPIA erlaubt Unternehmen und Organisationen die Datenverarbeitung, wenn dies im „berechtigten Interesse“ des Nutzers liegt. Dies kann zu Unklarheiten hinsichtlich möglichen Missbrauchs und Durchsetzungsschwierigkeiten führen.
POPIA schafft außerdem acht Bedingungen für rechtmäßige Datenverarbeitung, bei denen die Einwilligung der betroffenen Person entscheidend ist. Es liegt an Websites, Unternehmen und Organisationen („verantwortliche Parteien“), nachzuweisen, dass ihre Verarbeitung rechtmäßig ist – oder dass die korrekten Einwilligungen der Nutzer eingeholt wurden. POPIA definiert Einwilligung als jede freiwillige, spezifische und informierte Willensäußerung.
Datenübertragung und -freigabe
Die Übertragung personenbezogener Daten von innerhalb Südafrikas nach außerhalb Südafrikas ist durch POPIA verboten – mit folgenden Ausnahmen:
- grenzüberschreitende Übertragungen an Dritte sind zulässig, die rechtlichen oder unternehmerischen Datenschutz Regeln, die im Wesentlichen seinen eigenen ähneln.
- Bestimmte Arten der Übertragung sind von diesen Bedingungen ausgenommen, etwa wenn eine Person der Übertragung zugestimmt hat oder wenn die Übertragung zur Erfüllung eines Vertrags erforderlich ist.
Datenrechte
POPIA schafft neun einklagbare Rechte für südafrikanische Bürger (betroffene Personen), darunter das Recht auf Zugriff, das Recht auf Berichtigung und das Recht auf Löschung.
Ähnlich wie bei der DSGVO können Bürger kostenlos eine Bestätigung darüber anfordern, ob ihre personenbezogenen Daten verarbeitet werden. Im Gegensatz zur DSGVO erlaubt POPIA Organisationen, eine Gebühr für die Bereitstellung einer Kopie der über sie gespeicherten Informationen zu erheben. Organisationen, die dies tun, müssen vorab einen schriftlichen Kostenvoranschlag vorlegen.
Das POPIA schreibt außerdem vor, dass Organisationen auf solche DSAR-Anfrage innerhalb einer angemessenen Frist. Die DSGVO hingegen ist spezifischer und besagt, dass Organisationen unter normalen Umständen auf eine Antrag auf Auskunft über personenbezogene Daten (DSAR) unverzüglich, spätestens jedoch innerhalb eines Monats.
Geldstrafen, Strafen und Gefängnis, oh je!
Die finanziellen Folgen eines POPIA-Verstoßes betragen maximal $10 Millionen ZAR (Südafrikanische Rand), was viel weniger ist als ein DSGVO-Bußgeld maximal 20 Millionen Euro oder 41TP3B des weltweiten Jahresumsatzes. Die europäischen Strafverfolgungsbehörden können jedoch den Grad der Kooperation berücksichtigen, den eine Organisation bei ihren Ermittlungen zeigt.
Als zusätzliche Instanz der südafrikanischen Gesetzgebung können Einzelpersonen strafrechtlich zur Verantwortung gezogen und in schwereren Fällen zu Gefängnisstrafen von bis zu zehn Jahren verurteilt werden.
Im Vergleich zu POPIA konzentrieren sich die DSGVO-Sanktionen direkter auf die Nichteinhaltung. POPIA-Sanktionen gelten für die Nichteinhaltung und eine Reihe anderer Straftaten, darunter die Behinderung, Behinderung oder unrechtmäßige Beeinflussung von Vollstreckungsbeamten, die unter Eid nicht zu Gerichtsverhandlungen erscheinen.
Mit BigID können Unternehmen diese Strafen vermeiden und den Herausforderungen der POPIA-Konformität zuvorkommen:
- Daten entdecken: Personenbezogene Daten identifizieren und sensible Daten klassifizieren.
- Daten kontextualisieren: Korrelieren Sie Beziehungen zwischen Daten, indem Sie persönlichen und sensiblen Daten einen Kontext verleihen.
- Kennzeichnen und kennzeichnen Sie Daten für rechtliche Zwecke: Stellen Sie sicher, dass die Daten im Einklang mit den Datenschutzbestimmungen verarbeitet werden.
- Minimieren Sie doppelte oder vertrauliche Daten: Ermöglichen Sie Datenminimierung durch doppelte Identifizierung und wenden Sie Aufbewahrungsregeln basierend auf einem rechtlichen Zweck an.
- Verwalten von Datenrisiken: Entdecken, klassifizieren und ordnen Sie Daten zu, um Kontrollen zur Reduzierung des Verletzungsrisikos anzuwenden.
- Automatisieren Sie die Erfüllung von Datenrechten: Automatisieren Sie die manuelle Erfüllung einzelner Datenzugriffs- und Löschanfragen.
- Berichten Sie, wessen Daten sie haben: Aktivieren Sie Korrektur-Workflows und überprüfen Sie, ob vertrauliche Daten erfasst werden.
- Erkennen Sie richtlinienwidrige, grenzüberschreitende Datenübertragungen: Verfolgen Sie Verstöße gegen den Datenzugriff, die Datennutzung und die Datenübertragung im gesamten Unternehmen, um sofort Maßnahmen ergreifen zu können.
Jede Organisation, die personenbezogene Daten von Einwohnern Südafrikas verarbeitet, sollte sicherstellen, dass sie Compliance mit POPIA und achten Sie aufmerksam auf alle Ratschläge, die die Regulierungsbehörden in den nächsten Monaten herausgeben.
Erfahren Sie, wie BigID Ihnen helfen kann Sie stellen die POPIA-Konformität Ihrer Organisation sicher.