POPI-wet: 5 praktiese riglyne

Dit is noodsaaklik dat werkgewers hul verpligtinge en verantwoordelikhede ten opsigte van databeskerming en privaatheid in terme van die Wet op die Beskerming van Persoonlike Inligting (POPI), Wet 4 van 2013 verstaan. Werkgewers moet voldoeningsvereistes, noodsaaklike beleide en beste praktyke vir die hantering van persoonlike inligting in ag neem in ooreenstemming met die wet.

Vyf praktiese riglyne vir werkgewers sluit in:

1. Inligtingsbeampte

Identifiseer ‘n “Inligtingsbeampte” wat verantwoordelik (en aanspreeklik) sal wees vir alle nakomingspligte, en saam met die Reguleerder werk ten einde prosedures daar te stel en jou span op te lei ten opsigte van bewustheid en nakoming. ‘n Persoon sal outomaties ‘n besigheid se Inligtingsbeampte wees indien hulle sy “Hoof” is, dit wil sê ‘n eenmansaak, enige vennoot in ‘n vennootskap, of in die geval van ‘n “regspersoon” soos ‘n maatskappy die HUB, Besturende Direkteur of “gelykstaande beampte”. Jy, jou vennootskap of jou maatskappy kan ‘n ander persoon in die besigheid (bestuursvlak of hoër) “behoorlik magtig” om as Inligtingsbeampte op te tree en jy kan een of meer werknemers (weereens bestuursvlak of hoër) as “Adjunk-inligtingsbeamptes” aanwys. Beide Inligtingsbeamptes en Adjunk-inligtingsbeamptes moet by die Reguleerder geregistreer word.

2. Evalueer watter persoonlike inligting jy hou, hoe jy dit hou en hoekom:

Die maatskappy en/of Inligtingsbeampte(s) sal moet bepaal watter persoonlike inligting jy tans hou, hoe jy dit hou en hoekom jy dit hou. Dit is belangrik dat die term “persoonlike inligting” baie wyd gedefinieer word om enige inligting te beteken wat gebruik kan word om ‘n individuele persoon of ‘n ander besigheidsentiteit te identifiseer. Om inligting wettig in te samel en te “verwerk” moet jy kan wys dat jy wettig en redelik optree op ‘n wyse wat nie die datasubjek se privaatheid skend nie. Jy moet verder wys dat “gegewe die doel waarvoor dit verwerk word, dit voldoende, relevant en nie buitensporig is nie”. Data kan slegs ingesamel word vir ‘n spesifieke doel wat verband hou met jou besigheidsaktiwiteite en kan net behou word vir so lank as wat jy wettiglik moet, of toegelaat word om dit te hou.

3. Gaan sekuriteitsmaatreëls na, weet wat om te doen indien maatreëls verbreek word:

Die maatskappy en/of Inligtingsbeampte(s) moet verseker dat toepaslike sekuriteitsmaatreëls in plek is. Hierdie maatreëls moet voortdurend bygewerk word om die integriteit en vertroulikheid van persoonlike inligting onder sy beheer of in besit te verseker, deur toepaslike, redelike tegniese en organisatoriese maatreëls te tref om enige verlies van, skade aan, of ongemagtigde vernietiging van persoonlike inligting, en/of onwettige toegang tot of verwerking van persoonlike inligting te voorkom. Enige werklike of vermoedelike maatreëlverbrekings (waarna verwys word as “sekuriteitskompromieë” in die Wet) moet so gou as redelikerwys moontlik by die Inligtingsreguleerder en geaffekteerde datasubjekte aangemeld word.

4. Evalueer of jy enige direkte bemarking doen:

Die definisie vir direkte bemarking in die Wet is wyd en sluit “enige benadering” tot ‘n datasubjek in “vir die direkte of indirekte doel om in die normale verloop van besigheid enige goedere of dienste aan die datasubjek te bevorder of aan te bied om te verskaf, of hulle selfs versoek om ’n skenking van enige aard en om enige rede te maak”. ‘n Eenvoudige e-pos of WhatsApp-boodskap aan jou kliënte oor nuwe produkte/spesiale aanbiedinge, sal jou stewig binne-in daardie definisie plaas. Indien jou benadering deur middel van “enige vorm van elektroniese kommunikasie, insluitend outomatiese oproepmasjiene, faksmasjiene, SMS’e of e-pos” is, moet jy die bepalings van die POPI-wet nakom.

5. Begin met prosedures en opleiding:

Die maatskappy en/of Inligtingsbeampte(s) sal moet bepaal hoe hulle toestemming verkry, data insamel, verwerk en stoor, asook vir hoe lank, vir watter doeleinde/s ensovoorts. Jy is baie minder geneig om ‘n POPI-wet-probleem te hê indien almal in jou besigheid verstaan wat jou prosedures is en dit as vanselfsprekend implementeer. Maak seker dat geen verantwoordelikhede ontoegewys gelaat word nie—ken spesifieke nakomingstake aan aangewese personeellede toe en maak seker dat dit duidelik is wie vir elke taak verantwoordelik is.

Nie-nakoming

Hoofstuk 11, artikel 107 van die POPI-wet, handel oor die gevolge indien daar bevind word dat ‘n besigheid nie voldoen nie. Vir opvoedkundige doeleindes kan oortredings in ernstige oortredings en minder ernstige oortredings gekategoriseer word. Die straf vir ‘n ernstige oortreding is ‘n boete van tot R10 miljoen, 10 jaar gevangenisstraf, of ‘n kombinasie van beide ‘n boete en gevangenisstraf. Net so is die straf vir ‘n minder ernstige oortreding ‘n boete van tot R1 miljoen, een jaar gevangenisstraf, of ‘n kombinasie van beide.

Die inhoud in hierdie artikel is slegs vir inligtingsdoeleindes en moet nie as regsadvies beskou word nie. Kontak asseblief die LWO vir verdere inligting en ‘n verwysing na ons POPI-wet diensverskaffers.

Kontak die LWO vir enige advies of bystand!

Nog nie ‘n LWO lid nie? Kyk na ons lidmaatskap opsies.