POPIA: Schutzgesetz für personenbezogene Informationen in Südafrika

Was ist POPIA?

POPIA ist das Allgemeine Datenschutzgesetz in Südafrika. Zusammen mit anderen Datenschutzgesetzen definiert es in großem Umfang neue Regeln für Website-Tracking und Tracking-Cookies.

POPIA Zusammenfassung

Der Protection of Personal Information Act (POPIA) ist Südafrikas Datenschutzgesetz, ähnlich der DSGVO. Der Zweck von POPIA ist es, Menschen vor Schaden durch den Schutz ihrer personenbezogenen Daten zu bewahren. Es hat ähnliche Definitionen wie die DSGVO: Die betroffene Person, die verantwortliche Partei (Verantwortlicher), der Auftragsverarbeiter.

POPIA erlaubt Unternehmen und Organisationen die Datenverarbeitung, wenn ein „berechtigtes Interesse" des Nutzers vorliegt. POPIA definiert Einwilligung als jede freiwillige, spezifische und informierte Willensbekundung.

Die Einwilligung der betroffenen Person steht im Mittelpunkt. Websites, Unternehmen und Organisationen müssen nachweisen, dass ihre Verarbeitung rechtmäßig ist und Einwilligungen von Nutzern eingeholt wurden.

Was ist der Zeitplan des Protection of Personal Information Act (POPIA)?

Das Inkrafttretensdatum von POPI ist der 1. Juli 2020 mit einer 12-monatigen Übergangsfrist, wodurch die Frist für Organisationen zur Einhaltung der 1. Juli 2021 ist.

POPIA gilt für folgende Unternehmen

Jedes Unternehmen oder jede Organisation, die personenbezogene Daten in Südafrika verarbeitet, das im Land ansässig ist oder nicht ansässig ist, aber automatisierte oder nicht-automatisierte Verarbeitungsmittel im Land nutzt.

Einschließlich Adtech- und Social-Media-Unternehmen, die automatisierte Verarbeitung nutzen.

Was muss die verantwortliche Partei tun?

Einen Datenschutzbeauftragten (Information Officer) ernennen.
Eine Datenschutzrichtlinie erstellen.
Das Bewusstsein aller Mitarbeiter schärfen.
Verträge mit Auftragsverarbeitern anpassen.
Datenschutzverletzungen an die Regulierungsbehörde und betroffene Personen melden.
Überprüfen, ob sie personenbezogene Daten rechtmäßig in andere Länder übertragen können.
Personenbezogene Daten nur weitergeben, wenn sie dazu rechtmäßig befugt sind.

POPIA Strafen bei Nichteinhaltung

Ein Bußgeld oder eine Freiheitsstrafe zwischen 1 Million ZAR und 10 Millionen ZAR oder ein bis zehn Jahre Gefängnis.
Zahlung von Entschädigung an betroffene Personen für den erlittenen Schaden.

Einwilligung ist unter POPIA erforderlich

Personenbezogene Daten dürfen nur verarbeitet werden, wenn der Endnutzer in die Verarbeitung einwilligt, einschließlich der spezifischen Zwecke, für die die personenbezogenen Daten erhoben werden.

Ein Nutzer kann seine Einwilligung jederzeit widerrufen.

POPIA-Compliance

Verwenden Sie eine Consent-Management-Plattform wie UniConsent, um Verbrauchern die volle Kontrolle über die Datenerhebung zu geben, Opt-Out-Funktionen bereitzustellen und die Präferenzkommunikation für die POPIA-Compliance zusammen mit der DSGVO zu verwalten.

Persönliche Rechte unter POPIA

Recht auf Benachrichtigung über die Erhebung und Verarbeitung personenbezogener Daten
Recht auf Zugang zu personenbezogenen Daten
Recht auf Berichtigung personenbezogener Daten
Recht auf Löschung personenbezogener Daten
Recht auf Widerspruch gegen die Verarbeitung personenbezogener Daten
Recht, dass personenbezogene Daten nicht zum Zweck des Direktmarketings durch unaufgeforderte elektronische Kommunikation verarbeitet werden (was deutlich die ePrivacy-Richtlinie und nicht die DSGVO widerspiegelt)
Recht, keiner Entscheidung unterworfen zu werden, die rechtliche Auswirkungen hat und ausschließlich auf automatisierter Verarbeitung basiert
Recht auf Beschwerde beim Information Regulator
Recht auf gerichtlichen Rechtsbehelf

Acht Bedingungen für die rechtmäßige Datenverarbeitung in Südafrika

Alle acht Bedingungen müssen bei der rechtmäßigen Verarbeitung personenbezogener Daten nach POPIA erfüllt sein. Die Einwilligung der betroffenen Person steht im Mittelpunkt. Websites, Unternehmen und Organisationen müssen nachweisen, dass ihre Verarbeitung rechtmäßig ist und Einwilligungen von Nutzern eingeholt wurden.

Rechenschaftspflicht (Verarbeitung ist rechtmäßig und erfolgt auf datenschutzfreundliche Weise)
Verarbeitungsbeschränkung (Verarbeitung nur für den angegebenen Zweck)
Zweckbestimmung (ein bestimmter Zweck muss ausdrücklich definiert werden)
Weiterverarbeitungsbeschränkung (zusätzliche Verarbeitung muss weiterhin dem ursprünglichen Zweck entsprechen, für den der Endnutzer seine Einwilligung erteilt hat)
Datenqualität (sicherstellen, dass die Daten vollständig, korrekt und aktuell sind)
Offenheit (Dokumentation aller Verarbeitungsvorgänge)
Sicherheitsvorkehrungen (Schutz und Vertraulichkeit personenbezogener Daten müssen gewährleistet sein)
Teilnahme der betroffenen Person (sicherstellen, dass Endnutzer ihre Rechte auf Zugang, Berichtigung und Löschung ihrer Daten ausüben können)

POPIA Regulierungsbehörde

Die wichtigste Aufsichts- und Durchsetzungsbehörde unter POPIA ist der Information Regulator, SAIR.

Einwilligung unter POPIA vs. DSGVO

POPIA und die DSGVO haben nahezu identische Definitionen der Einwilligung.

POPIA-Definition: „jede freiwillige, spezifische und informierte Willensbekundung, mit der die Erlaubnis zur Verarbeitung personenbezogener Daten erteilt wird"