Category Archives: POPI

Is your Business POPI Compliant?

POPI refers to South Africa’s Protection of Personal Information Act which seeks to regulate the Processing of Personal Information.

What is Personal Information?

Means any information relating to an identifiable, living natural person or juristic person (companies, CC’s etc.) and includes, but is not limited to:

  • Contact details: email, telephone, address etc.
  • Demographic information: age, sex, race, birth date, ethnicity etc.
  • History: employment, financial, educational, criminal, medical history
  • Biometric information: blood type etc.
  • Opinions of and about the person
  • Private correspondence etc.

What is Processing?

Processing broadly means anything done with someone’s personal Information, including collection, usage, storage, dissemination, modification or destruction (whether such processing is automated or not).

Some of the obligations under POPI:

  • Only collect information that you need for a specific purpose.
  • Apply reasonable security measures to protect it.
  • Ensure it is relevant and up to date.
  • Only hold as much as you need, and only for as long as you need it.
  • Allow the subject of the information to see it upon request.

Does POPI really apply to me or my business?

POPI applies to every South African based public and/or private body who, either alone, or in conjunction with others, determines the purpose of or means for processing personal information in South Africa.

There are cases where POPI does not apply. Exclusions include: Section 6:

  • purely household or personal activity.
  • sufficiently de-identified information.
  • some state functions including criminal prosecutions, national security etc.
  • journalism under a code of ethics.
  • judiciary functions etc.

Why should I comply with POPI?

POPI promotes transparency with regard to what information is collected and how it is to be processed. Openness increases customer trust in the organisation.

Non-compliance with the Act could expose the Responsible Party to a penalty of a fine and/or imprisonment of up to 12 months. In certain cases, the penalty for non-compliance could be a fine and/or imprisonment of up 10 years.

This article is a general information sheet and should not be used or relied on as legal or other professional advice. No liability can be accepted for any errors or omissions nor for any loss or damage arising from reliance upon any information herein. Always contact your legal adviser for specific and detailed advice. Errors and omissions excepted (E&OE)

POPI-Wet

A2_BDie konsepwet op die Beskerming van Persoonlike Inligting, waarna algemeen verwys word as die POPI-wet, sal binnekort wetgewing word en is bedoel om die prosessering van persoonlike inligting te reguleer.

Dit moet saamgelees word met ander relevante wette soos:

  1. Elektroniese Kommunikasie en Transaksies Wet 25 van 2002 (‘ECT’)
  2. Bevordering van Toegang tot Inligting Wet 2 van 2002 (‘PAIA’)
  3. Regulering van die Onderskepping van Kommunikasies Wet 70 van 2002 (‘RICA’)
  4. Verbruikers Beskermings Wet 68 van 2008 (‘CPA’)

Gegewe die e-handel en tegnologie wat deur entussen besighede gebruik word, word persoonlike inligting van beide werknemers en kliënte al hoe makliker toeganklik vir derde partye.

POPI beoog om sekere beskermingsbeginsels in te voer ten einde minimumvereistes te stel vir die prosessering van persoonlike inligting. Daar is agt beginsels ter beskerming van inligting vervat in hoofstuk 3 van die konsepwet, naamlik:

Aanspreeklikheid; Beperking op prosessering; Spesifisering van die doel; Beperking op verdere prosessering; Kwaliteit van inligting; Openheid; Sekuriteitsbeheermaatreëls; Deelname van die persoon waarop die inligting betrekking het. 

Die doel is om deursigtigheid te bevorder m.b.t. watter inligting versamel kan word en hoe dit verwerk gaan word. Dit mag dalk die einde beteken van al die ongevraagde bemarkingsoproepe en rommelpos wat ons op ‘n daaglikse basis ontvang.

Prosessering beteken breedweg enigiets wat gedoen word met persoonlike inligting, insluitend insameling, gebruik, bewaring, disseminasie, modifikasie of vernietiging (ongeag of sodanige prosessering outomaties is al dan nie).

POPI-nakoming behels die vaslegging van die minimum vereiste data, die versekering van akkuraatheid en verwydering van data wat nie meer benodig word nie. Hierdie maatstawwe sal waarskynlik die algemene betroubaarheid van ‘n organisasie se databasis verbeter.

Nakoming vereis verder die identifisering van persoonlike inligting en die tref van redelike maatreëls om die data te beskerm, soos  nagaan van die werkvloei van kliënte se dokumente en toesien dat noodsaaklike inligting nie verlê word of in die verkeerde hande beland nie.

Die POPI-wet  strook met soortgelyke wetgewing wat in 70 tot 80 ander lande bestaan. Suid-Afrika is nou gereed om te voldoen aan internasionale standaarde vir die insameling en hantering van persoonlike inligting.

Die Wet beskerm nie net die manier waarop inligting gebruik en/of hergebruik word deur die ontvanger van die inligting nie, maar die party wat die inligting insamel het ook die verantwoordelikheid om seker te maak dat dit akkuraat en aktueel is en nie misleidend is nie.

Persoonlike Inligting mag slegs geprosesseer word as vrywillige, spesifieke en oorwoë toestemming daartoe verkry is.

‘n Reguleerder van Inligtingbeskerming (Information Protection Regulator) wat wye gesag sal hê, sal aangestel word en sal die openbare belang kan opweeg teen ‘n individu se reg op privaatheid.

Daar is egter gevalle waar POPI nie van toepassing sal wees nie. Artikel 4-uitsonderings sluit in:

  1. suiwer huishoudelike of persoonlike aktiwiteite;
  2. inligting wat reeds genoegsaam geïdentifiseer is;
  3. sommige staatsfunksies, insluitend kriminele vervolging, nasionale sekuriteit ens.;
  4. joernalistiek onderworpe aan ‘n etiese kode;
  5. funksies van die regsbank ens.

Verwysings:

  1. http://www.popi-compliance.co.za/
  2. http://www.saaci.co.za/

Hierdie artikel is ‘n algemene inligtingstuk en moet nie gebruik of staatgemaak word op as professionele advies nie. Geen aanspreeklikheid kan aanvaar word vir enige foute of weglatings of vir enige verlies of skade wat voortspruit uit vertroue op enige inligting hierin nie. Kontak atyd jou regsadviseur vir spesifieke en gedetailleerde advies.