Alles, was Sie über die Einhaltung von POPIA wissen müssen

Veröffentlicht: 2021-09-21

POPIA ist Südafrikas erstes umfassendes Datenschutzgesetz, auch bekannt als Südafrikas Datenschutzgesetz. Sie trat am 1. Juli 2021 in Kraft.

POPIA zielt darauf ab, dem verfassungsmäßigen Recht auf Privatsphäre Geltung zu verschaffen und dieses gleichzeitig gegen konkurrierende Rechte und Interessen, insbesondere das Recht auf Zugang zu Informationen, abzuwägen.

Lesen Sie weiter, um mehr über POPIA zu erfahren, was Sie für die Konformität von WordPress-Sites tun müssen.

An wen wendet sich POPIA?

POPIA gilt für jedes Unternehmen und jede Organisation, unabhängig von Größe, Branche oder Standort, die personenbezogene Daten verarbeitet, wenn die Organisation ist

  • Sitz in Südafrika, oder
  • Sitz außerhalb Südafrikas, verarbeitet jedoch personenbezogene Daten innerhalb Südafrikas (es sei denn, es werden nur personenbezogene Daten durch das Land weitergeleitet)

Dies bedeutet, dass jedes nicht-südafrikanische Unternehmen, das in Südafrika Geschäfte tätigt, die POPIA einhalten sollte, unabhängig davon, ob das Unternehmen physisch im Land präsent ist oder nicht.

Was ist der Zweck von POPIA?

Mit der Durchsetzung dieser Datenschutzverordnung verfolgt die südafrikanische Regierung die folgenden drei Ziele.

  1. Förderung des Schutzes personenbezogener Daten, die von öffentlichen und privaten Stellen verarbeitet werden.
  2. Einführung bestimmter Bedingungen, um Mindestanforderungen für die Verarbeitung personenbezogener Daten festzulegen.
  3. Um den Fluss personenbezogener Daten über die Grenzen Südafrikas zu regulieren.

Was sind die 8 Prinzipien, die von POPIA abgedeckt werden?

Rechenschaftspflicht

Das erste Prinzip impliziert, dass Organisationen einen Informationsbeauftragten ernennen müssen, der die Einhaltung des Gesetzes überwacht.

Verarbeitungsbeschränkung

Das zweite Prinzip legt die Kontrolle darüber fest, wie und wann personenbezogene Daten verarbeitet werden. Es besagt, dass es angemessen, rechtmäßig, minimal, mit Zustimmung, mit Beweisen und vorbehaltlich des Widerspruchs der betroffenen Person sein sollte. Personenbezogene Daten sollten auch direkt bei der betroffenen Person erhoben werden.

Zweckspezifikation

Das dritte Prinzip umfasst den Zweck der Sammlung von Informationen und deren Aufbewahrung. Der Zweck sollte spezifisch, rechtmäßig und eindeutig sein und nicht länger aufbewahrt werden, als es zur Erreichung des Zwecks, für den sie erhoben wurden, erforderlich ist.

Weiterverarbeitungsbeschränkung

Der vierte Grundsatz gibt die Gründe an, aus denen die Verarbeitung von Informationen erfolgen sollte. Sie sollten nur für den Zweck dienen, zu dem Sie die Informationen gesammelt haben, und sollten dem Zweck der Sammlung innerhalb des dritten Prinzips entsprechen.

Informationsqualität

Das fünfte Prinzip befasst sich mit der Informationsqualität und besagt, dass diese vollständig, genau, nicht irreführend und aktualisiert sein sollten und dass die verantwortliche Partei dies sicherstellen muss.

Offenheit

Beim sechsten Prinzip geht es um die Offenheit der Verarbeitung und Sammlung von Informationen. Es legt Ihre Verantwortung fest, die Dokumentation der gesamten Informationsverarbeitung zu führen und die betroffene Person über alles im Zusammenhang mit der Erhebung von Informationen zu informieren.

Sicherheitsvorkehrungen

Der siebte Grundsatz bezieht sich auf Ihre Verantwortung für die sichere Aufbewahrung der Informationen und die Benachrichtigung der Aufsichtsbehörde und der betroffenen Person im Falle eines Datenverlusts oder eines unbefugten Zugriffs auf Daten.

Teilnahme der betroffenen Person

Der achte Grundsatz erweitert die betroffene Person um das Recht auf Auskunft über ihre Informationen, Informationen über Dritte, die Zugriff auf ihre Informationen hatten, sowie auf Berichtigung und Löschung ihrer Informationen.

Was sind die Ausnahmen unter POPIA?

Obwohl alle oben genannten Grundsätze befolgt werden müssen, um die Einhaltung von POPIA zu erreichen, kann eine Aufsichtsbehörde in einigen Fällen durch Bekanntmachung im Amtsblatt einer verantwortlichen Partei eine Ausnahme von der Verarbeitung personenbezogener Daten erteilen, selbst wenn diese Verarbeitung gegen eine Bedingung verstößt. Die Umstände für die Gewährung solcher Ausnahmen sind,

  1. In Angelegenheiten von öffentlichem Interesse, einschließlich nationaler Sicherheit, Verhütung, Aufdeckung und Verfolgung von Straftaten, wichtigen wirtschaftlichen und finanziellen Interessen, historischen, statistischen oder Forschungsaktivitäten, Meinungsfreiheit
  2. Wenn die Verarbeitung einen eindeutigen Nutzen für die betroffene Person mit sich bringt, der den Eingriff in die Privatsphäre der betroffenen Person überwiegt.

Was sind persönliche Informationen unter POPIA?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare, lebende, natürliche oder juristische Person (Unternehmen/Organisation) beziehen, einschließlich, aber nicht beschränkt auf –

  • Angaben zu Rasse, Geschlecht, Geschlecht, Schwangerschaft, Familienstand, nationaler, ethnischer oder sozialer Herkunft, Hautfarbe, sexueller Orientierung, Alter, Behinderung, Religion etc.
  • Informationen in Bezug auf Bildung, medizinische, finanzielle, kriminelle oder berufliche Vorgeschichte sowie biometrische Informationen
  • Identifikatoren wie E-Mail-Adresse, physische Adresse, Telefonnummer, Standortdaten, Online-Identifikatoren, IP-Adressen, Cookies, eindeutige IDs, Such- und Browserverlauf

Was sind die Strafen, wenn man nicht POPIA-konform ist?

Die folgenden Folgen sind die Folgen einer Nichteinhaltung:

  • Verwaltungsstrafen
    • Geldstrafen bis zu 10 Millionen R und/oder 10 Jahre Gefängnis pro Vorfall.
  • Vollstreckungsbescheide
    • Beenden Sie die Verarbeitung personenbezogener Daten.
  • Zivilklage
    • Kann von betroffenen Personen wegen „Not“ aufgekauft werden, Millionen Schadensersatz für eine Zivilklage auszahlen.
    • Reputationsschaden erleiden.
  • Allgemeine Bedenken
    • Reputationsverlust und nachfolgender Verlust von Kunden und mögliches Scheitern der Organisation/des Unternehmens.

Was ist Zustimmung in POPIA?

POPIA erwähnt die Einwilligung als Rechtsgrundlage für die Verarbeitung personenbezogener Daten und enthält Bestimmungen darüber, wie die Einwilligung eingeholt werden muss und wie sie widerrufen werden kann. POPIA definiert Einwilligung als „freiwillige, spezifische und informierte Willensäußerung, in deren Sinne die Erlaubnis zur Verarbeitung personenbezogener Daten erteilt wird“.

  • Die Einwilligung muss freiwillig erfolgen
  • Die Einwilligung sollte für einen bestimmten Zweck erteilt werden und darf nicht vage oder mehrdeutig sein
  • Informieren Sie die betroffene Person ordnungsgemäß darüber, wozu sie zustimmt, wie ihre Daten verarbeitet werden usw.
  • Einverständniserklärung

Wie können Sie Ihre WordPress-Site mit POPIA erfüllen?

Da Cookies in POPIA als Online-Identifikatoren betrachtet werden, fallen sie in den Bereich der personenbezogenen Daten. Das bedeutet, dass Ihre Website über einen angemessenen Cookie-Zustimmungsmechanismus verfügen muss.

Wenn Sie nach dem richtigen Tool suchen, um Ihrer WordPress-Site bei der Einhaltung von POPIA zu helfen, ist das Plugin CookieYes GDPR Cookie Consent and Compliance Notice eine der besten Optionen. Die kostenlose Version reicht aus, um Ihnen bei der Einhaltung zu helfen.

Sie können ein konformes Cookie-Banner für Ihre Website generieren, sodass Sie zuvor die Zustimmung des Benutzers einholen. Sie können den Inhalt, das Layout, die Farben und das Verhalten vollständig anpassen und Cookie-Banner in verschiedenen Sprachen anzeigen.