POPIA

Oorsig

Die Wet op die Beskerming van Persoonlike Inligting (in algemene spreektaal POPIA genoem, as akroniem van die Engelse titel, Protection of Personal Information Act), reël die beskerming van die persoonlike inligting wat instansies oor individue berg.

Beperking: Die inligting wat op hierdie bladsy verskaf word, dien om toeligting te verskaf en implementering oorsigtelik te illustreer. Dit vervang nie die noodsaak dat verantwoordelike partye op hoogte met die Wet self en ander verbandhoudende dokumente is nie. Raadpleeg ook die NG Kerk se POPIA-handleiding.

Die DOEL van POPIA:

• Beskerm jou reg op privaatheid soos verskans in die Grondwet
• Verskaf balans tussen die reg tot privaatheid en die reg van toegang tot informasie
• Skryf die wyse waarop informasie geberg en verwerk word voor (die sg. 8 processing conditions)
• Verskaf beskerming en ‘n beroep op die reg aan diegene wie in terme van POPIA te na gekom word
• Skep die statutêre rol van ‘n inligtingsreguleerder
• Bring die datapraktyke in SA in lyn met wetgewing in Europa en die Verenigde koninkryk.

POPIA is op 1 Julie 2020 gepromulgeer en moet teen 1 Julie 2021 deur alle instansies geïmplementeer word.

Die ROLSPELERS wat verantwoordelik is om POPIA toe te pas of wat deur POPIA geraak word:

• Die verantwoordelike partye, bv die gemeente wat die data van lidmate berg en verwerk
• Die datasubjek, die persoon wie se data geberg en verwerk word
• ‘n Derde party, wat data namens ‘n ander instansie verwerk (bv die werkgewer wat sy werknemers se data aan ‘n mediese skema, die derde party, bekendmaak sodat mediese dienste gereël kan word)
• ‘n Operateur wat dataverwerking hanteer (bv die boekhouers wat die gemeente se dankoffers te boek stel).

Wanneer iemand se persoonlike informasie wanaangewend word, kan enige van die rolspelers regsaanspreekbaar wees. Elke verantwoordelike party (soos die gemeente wat data berg en verwerk) moet ‘n regverdigbare rede hê waarom data na ‘n ander instansie oorgedra word.

Wat is persoonlike inligting?

Enige inligting met betrekking tot ‘n identifiseerbare lewende natuurlike persoon, of ‘n regspersoon. Dit sluit in:

• Ras, geslag, gender, swangerskappe, huwelikstatus, nasionaliteit, etniese of sosiale oorsprong, kleur, seksuele oriëntasie, ouderdom, fisieke of geestesgesondheid, gestremdheid, godsdienstige oortuiging of affiliasie, gewete, geloofsoortuigings, kultuur, taal en geboorte
• Persoonlike geskiedenis, soos besonderhede oor opvoeding, mediese geskiedenis, finansiële posisie of geskiedenis, kriminele rekords en besonderhede van beroepsgeskiedenis
• Identifiseerders, soos telefoonnommers, simbole, e-posadres, fisiese adres, ligging, aanlyn-identiteite of enige ander nommer wat gebruik word om die individue te identifiseer, soos ‘n personeelnommer, mediesefondsnommer, studentenommer, e.s.m.
• Biometriese informasie soos bloedgroep, vingerafdrukke, DNA-analises, skandering van die retina, stemherkenning of gesigsherkenning, merkers van fisieke voorkoms of gedragspatrone.
• Persoonlike opinies, standpunte of voorkeure
• Korrespondensie wat implisiet of eksplisiet van ‘n privaat of persoonlike aard is
• Standpunte of opinies oor ‘n ander individu
• Die naam van ‘n persoon, mét of sónder ander inligting oor die persoon.

Wat is prosessering?

• Enige aktiwiteit of stel aktiwiteite waardeur persoonlike inligting versamel, opgeteken, gestoor, opgedateer, gewysig, herroep of verander word
• Oordra van hierdie informasie
• Verbind van hierdie inligting met ander inligting, of die uitwis daarvan.

Informasie moet aangeteken word in ‘n rekord, wat ook al die vorm daarvan (papier, lêer of digitaal), wat in die besit van ‘n verantwoordelike party is, en hetsy dit deel van ‘n outomatiese of nie-outomatiese proses is. So ‘n rekord moet deel van ‘n liasseersisteem wees.

Spesiale persoonlike inligting is ‘n spesifieke stel inligtingskategorieë wat slegs aangeteken mag word met toestemming van die datasubjek of waar die wet dit vereis. Dit kan slegs verwerk word met die oog op historiese, statistiese of navorsingsdoeleindes, indien dit spesifiek bekendgemaak is deur die datasubjek of indien dit gemagtig is deur die inligtingsreguleerder. Voorbeelde van spesiale persoonlike inligting sluit godsdiens, ras of etniese oorsprong, lidmaatskap van ‘n vakbond, politieke oortuiging, gesondheid of sekslewe, biometriese inligting of inligting oor beweerde betrokkenheid by kriminele aktiwiteite in.

Spesiale persoonlike inligting kan wel versamel en geprosesseer word indien daar behoorlike regverdiging daarvoor is. Dit magtig gemeentes om lidmate of deelnemers (datasubjekte met spesifieke godsdienstige oortuigings) se inligting wel te prosesseer. Toestemming moet egter verleen word. Gemeentes pas daarom bv. hul vorms vir nuwe lidmate aan.

Die regte van datasubjekte sluit in:

• Die reg dat jou persoonlike inligting wettig verwerk word (soos bepaal deur die 8 voorwaardes vir verwerking)
• Om in kennis gestel te word dat jou persoonlike inligting versamel, verwerk en benut word
• Dat jou persoonlike inligting nie vir direkte bemarking gebruik word nie
• Om ‘n klagte by die inligtingsreguleerder te lê
• Om siviele aksie teen ‘n verantwoordelike party te loods.

Die lewensiklus van persoonlike inligting behels die a) skep, b) stoor, c) gebruik, d) deel, e) argiveer en f) vernietiging daarvan. Die agt voorwaardes vir prosessering is van toepassing op die hele lewensiklus van persoonlike inligting, wat net gehou mag word solank dit nodig is, of geregverdig kan word. Binne een organisasie kan verskillende sisteme wat data berg bestaan en die geregverdigde hou van persoonlike data sal van afdeling tot afdeling verskil. Personeelrekords sal bv. korter gehou word nadat personeel vertrek vergeleke met finansiële inligting wat weens verantwoordbaarheid langer gehou moet word.

Die agt voorwaardes vir prosessering wat op die hele lewensiklus van persoonlike inligting van toepassing is:

1. Verantwoordbaarheid: die verantwoordelike partye hou by al die reëlings en bepalings van POPIA

2. Versameling en prosessering wat pas by die doel waarom die inligting versamel word. Oormatige en ontoepaslike inligting moenie versamel word nie. Die toestemming van die datasubjek is nodig, en die verwerking van inligting moet pas by die werklike belange van die verantwoordelike party. Inligting moet ook direk van die datasubjek versamel word, met enkele uitsonderings.
Die persoonlike inligting van individue jonger as 18 jaar mag nie sonder die toestemming van die ouer of voog versamel en verwerk word nie. Wanneer ‘n ouer of voog nie beskikbaar is nie moet die versamel van inligting in publieke belang wees en toestemming word van die inligtingsreguleerder gevra. ‘n Voorbeeld is instansies wat voedselhulp aan kinders lewer. Indien daar ouers of voogde was, sou die voedselhulp waarskynlik nie nodig wees nie, vandaar die oorweging van publieke belang wat dit wel regverdig om hierdie kinders se inligting te berg.

3. Persoonlike inligting moet vir ‘n spesifieke doel versamel word wat verband hou met die funksionering of aktiwiteite van die verantwoordelike instansie: waak teen die vra van te veel of onnodige inligting. Genuanseerdheid is hier nodig. Werkgewers mag bv persoonlike inligting gebruik om hul werkgewersbelange te beskerm, bv tydens dissiplinêre aksie.

4. Die verdere verwerking van inligting moet verband hou met die oorspronklike doel waarmee die inligting ingesamel was. Geregverdigde verdere verwerking sluit in: toestemming is van die datasubjek verkry; die inligting is uit ‘n publieke rekord verkry; dit raak wetstoepassing, die voorkoming van misdaad of statistiese oorwegings, of die inligtingsreguleerder het toestemming daarvoor verleen.

5. Die kwaliteit van inligting moet deur praktiese stappe verseker word. Persoonlike inligting moet volledig, akkuraat en op datum wees in verhouding tot die doel daarvan.

6. Openheid: datasubjekte moet deur verantwoordelike partye ingelig word voordat inligting versamel word, bv dat inligting versamel word en wat die bron daarvoor is, die doel van die inligting, die besonderhede van die verantwoordelike party, die gevolge indien die datasubjek nie die inligting wil verskaf nie. Indien inligting voorheen met toestemming versamel en verwerk is, en dit bly dieselfde, is verdere toestemming nie nodig nie.

7. Veiligheid en beskerming: die verantwoordelike partye moet die integriteit en vertroulikheid van die persoonlike inligting beskerm deur konkrete stappe te neem om die verlies daarvan of onwettige toegang daartoe te voorkom. Alle voorsienbare interne en eksterne risiko’s moet gelys word en gepaste stappe en verliesvoorkomende aksies moet ingestel en deurlopend gehandhaaf word. Dit sluit inbrake en ongemagtigde elektroniese toegang in. Indien verlies of diefstal voorkom, is daar stappe wat geneem moet word.

8. Inligtingsbeampte: Elke verantwoordelike partye (soos die gemeente) moet oor ‘n inligtingsbeampte beskik, en daardie persoon moet geregistreer word. Die elektroniese skakel waar dit gedoen moet word, is: https://justice.gov.za/inforeg/portal.html (soos op 19 Mei 2021 deur die Dept gekommunikeer). Die inligtingsbeampte sien toe dat POPIA behoorlik geïmplementeer word, en verseker dat die verantwoordelike partye (die kerkraad) ‘n behoorlike kode vir implementering voorberei. Dié beampte moet ook bewusmaking oor POPIA in die gemeente bevorder.

VOORBEELDE VAN AANPASSINGS
Een: Gemeentes samel inligting by nuwe lidmate en nuwe intrekkers in. Die vorm kan aangepas word deur die volgende te vra: “Hiermee gee ek ________ toestemming dat die persoonlike inligting van ondergemelde persone wat benodig word vir die werksaamhede van die XYZ gemeente op alle hand en digitale stelsels van die gemeente gestoor en gebruik mag word.” Hierdie voorbeeld geld die geval waar een persoon die vorm voltooi namens die gesin, met minderjarige kinders.

Twee: Die gemeente vra dat persone wat by die basaar wil help, of ‘n kursus van die gemeente gaan bywoon, ‘n vormpie voltooi. Skryf op die vorm: “Hiermee gee ek toestemming dat my persoonlike inligting vir hierdie doel gestoor en gebruik mag word”