11 Vrae oor die POPI-wetgewing om vir jouself af

te vra voor 30 Junie 2021

Let asseblief daarop dat hierdie 'n ingewikkelde onderwerp is. Daar is geen plaasvervanger
vir toegepaste, professionele advies nie. Hierdie uiteensetting is noodwendig slegs 'n
vereenvoudigde samevatting van enkele praktiese hoogtepunte.

Jy en jou besigheid loop 'n wesenlike risiko as jy nie vanaf 1 Julie 2021 die POPI-wet (die Wet op
die Beskerming van Persoonlike Inligting) nakom nie.

Wees gereed! Kom die voorskrifte na! Vra jouself hierdie elf vrae –

1. Is die POPI-wet op ons van toepassing?

Sodra jy op enige manier enige persoonlike inligting met betrekking tot 'n 'data-
onderwerp' prosesseer (versamel, gebruik, bestuur, stoor, deel, vernietig en so aan);
met ‘n “data-onderwerp” wat beskryf word as verskaffers, kliënte, lede, werknemers, en
so aan, hetsy as individue of “regspersone” soos ‘n maatskappy, sal jy 'n
'verantwoordelike party' wees.

Die formele definisie van 'n verantwoordelike party is ‘‘n openbare of privaat liggaam of
enige ander persoon wat, alleen of in samewerking met ander, bepaal wat die doel en
middele vir die verwerking van persoonlike inligting gaan wees. Baie min besighede en
organisasies gaan buite hierdie omskrywing val. Dit is ook onwaarskynlik dat jul
besigheid onder die vrystellings sal val soos waar inligting slegs verwerk word "in die
loop van 'n suiwer persoonlike of huishoudelike aktiwiteit".

Moenie paniekerig raak nie.

Vir die meeste ondernemings sal nakoming eenvoudig wees, veral as jy deel is van 'n
kleiner onderneming met min of geen sensitiewe persoonlike inligting. Deur die vra
hieronder te beantwoord, sal jy 'n goeie gevoel kry van die gebiede waarop jy nou moet
fokus.

2. Watter risiko's loop ons as ons nie aan die POPI-wet voldoen nie
As ’n data onderwerp enige verlies as gevolg van jou verbreking van POPI wetgewing ly,
kan die onderwerp (of die Reguleerder op versoek van die onderwerp) van jou
skadevergoeding eis. Jy sal aanspreeklik gehou word selfs al was jou oortreding
onbedoeld en nie nalatig nie. Jy kan ook strafregtelik vervolg word en ook boetes en
administratiewe boetes opgelê word vir sommige van die oortredings.

We're passionate about your success...

 3. Het jy jou Inligtingsbeampte(s) geregistreer?
Jy moet jul Inligtingsbeampte (“IB”) by die Inligtingsreguleerder registreer - gaan na die
Reguleerder se Aanlynportaal vir die aanlyn- en PDF-weergawes van die
registrasievorm, plus die e-posadres vir ondersteuningsnavrae en 'n skakel na die
toepaslike webblad. Die IB is verantwoordelik (en aanspreeklik) vir alle nakomingspligte,
werk saam met die Reguleerder, stel prosedures en dies meer in. Jy is outomaties 'n
besigheid se IB as jy die 'hoof' is, dit wil sê 'n alleenhandelaar, 'n vennoot in 'n
vennootskap, of (ten opsigte van 'n 'regspersoon' soos 'n maatskappy) die uitvoerende
hoof, besturende direkteur of 'n 'soortgelyke beampte'. Jy sal ‘n ander persoon in die
onderneming "behoorlik kan magtig" (bestuursvlak of hoër) om as IB op te tree, en jy sal
een of meer werknemers (bestuursvlak of hoër) as 'adjunk-inligtingsbeamptes' kan
aanwys.

4. Het ons 'n lys van alle persoonlike inligting wat ons bewaar, en hoe en waarom
bewaar ons dit?

Maak 'n volledige lys van al die persoonlike inligting wat julle bewaar of verwerk, hetsy
fisies of in elektroniese formaat. Evalueer die rede waarom jy die persoonlike inligting
hou en toets dit hieraan: om persoonlike inligting regmatig te versamel en te verwerk,
moet jy kan aantoon dat jy veilig, wettig en redelik optree en dat jy nie die privaatheid
van die betrokkene oortree nie.
Jy moet kan aantoon dat “gegewe die doel waarvoor die inligting verwerk word, is dit
voldoende, relevant en nie buitensporig nie”. Data kan slegs versamel word vir 'n
spesifieke doel wat verband hou met jou besigheidsaktiwiteite en kan slegs bewaar word
vir solank as wat julle dit regmatig vir hierdie doel moet (of mag) hou.

5. Watter veiligheidsmaatreëls het ons in plek?

Jy moet 'die integriteit en vertroulikheid van persoonlike inligting in jou besit of onder jou
beheer beskerm deur toepaslike, redelike, tegniese en organisatoriese maatreëls te tref
om te voorkom dat ... verlies van, skade aan of ongemagtigde vernietiging van
persoonlike inligting gebeur... en onwettige toegang tot of verwerking van persoonlike
inligting plaasvind’.
Jy loop 'n groot risiko vir aanspreeklikheid en boetes as enige vorm van data-oortreding
gebeur terwyl dit onder jou beheer is. Veral as dit die gevolg is van 'n "redelike
voorsienbare" risiko, tensy jy kan bewys dat jy stappe geneem het om 'gepaste
beskermingsmaatreëls' teen hierdie risiko's in te stel en te handhaaf. As jy dit nog nie
gedoen het nie, hou 'n strategiese sessie saam met jou span oor alle moontlike interne
en eksterne kwesbaarhede (fisies sowel as elektronies) en spreek dit aan.

6. Is daar derde partye wat persoonlike inligting namens jou hou of verwerk?
As derde partye ("operateurs") persoonlike inligting vir jou bewaar of verwerk, moet hulle
met jou magtiging optree, die inligting as vertroulik hanteer en al die bogenoemde
veiligheidsmaatreëls in plek hê. Verdere beperkings geld as die derde party buite Suid-
Afrika geleë is.

We're passionate about your success...

 7. Weet wat om te doen met ‘n inligtingsbreuk
Enige werklike of vermoedelike inligtingsbreuke (wat in die POPI-wet
'beveiligingskompromieë' genoem word) moet so gou as redelik moontlik by die
Inligtingsreguleerder en aan die betrokke persoon aangemeld word.

8. Doen julle enige 'direkte bemarking' en indien wel, voldoen julle aan die
voorskrifte?

Die meeste ondernemings dink nie dat hulle enige direkte bemarking doen nie, maar die
definisie is wyd en sluit in "enige benadering" tot 'n data onderwerp "vir die direkte of
indirekte doel om... die bevordering of aanbied van, in die gewone loop van sake, enige
goedere of dienste aan die betrokkene te lewer ...”. So, byvoorbeeld, om 'n e-pos of
WhatsApp na kliënte te stuur oor 'n nuwe produk of 'n spesiale aanbod, is direkte
bemarking.
As jy ’n kliënt benader deur middel van “enige vorm van elektroniese kommunikasie,
insluitend outomatiese oproepmasjiene, faksimileermasjiene, SMS’e of e-pos”, is daar
beperkings wat nagekom moet word. As 'n algemene reel mag jy aan jou bestaande
kliënte bemark as soortgelyke produkte of dienste ter sprake is; maar daar is beperkings
en ontvangers moet in enige stadium kan onttrek.

9. Gebruik jul webwerf koekies, stel julle gebruikers hiervan in kennis en het julle ‘n
formele beleid hieroor?
Soos wat lande regoor die wêreld groter klem lê op privaatheid, sien ons reeds hoe al
meer kennisgewings oor die gebruik van koekies op webwerwe verskyn. As jy wonder
oor die hantering van jul eie webwerf moet jy weet dat indien julle koekies gebruik, is die
POPI-wet waarskynlik van toepassing. Daar is geen uitdruklike melding van koekies in
die bestaande wetgewing nie, maar dit voldoen oënskynlik aan die POPI definisies. Om
veilig te wees, is dit gepas om ‘n koekiekennisgewing en –beleid in plek te stel. Hou die
kennisgewing en die beleid eenvoudig en gebruikersvriendelik.

10. Het julle 'n privaatheidsbeleid en 'n handleiding om aan die POPI-wet te voldoen?

Anders as PAIA (die Wet op die Bevordering van Toegang tot Inligting) vereis die POPI
wet nie dat julle 'n handleiding moet hê nie, maar in groter ondernemings is dit sinvol om
wel een voor te berei.
Julle moet wel 'n privaatheidsbeleid in plek hê. Sorg dat almal in jul organisasie bewus is
van die beleid en dat almal saamwerk om aan die bepalings daarvan te voldoen.

11. Is jul personeelspan gereed?

Maak seker dat almal in jul onderneming bewus is van die nakomingsplan en dat almal
hul rolle en verantwoordelikhede verstaan. Maak seker dat almal aan boord is en ken
spesifieke take aan spesifieke personeellede toe.

We're passionate about your success...

Hoe die POPI-wet Huiseienaarsverenigings en Regspersone gaan beïnvloed

Huiseienaarsverenigings en Regspersone moet ook aan die voorskrifte van die POPI-
wetgewing voldoen.

Deel van die ondersoek is om vas te stel watter persoonlike inligting julle bewaar asook hoe en
waarom julle dit bewaar. Afgesien van die skema-eienaars en lede van die
Huiseienaarsvereniging dink ook aan die inligting aan en van die ouditeure, prokureurs,
bestuursagente, CSOS (die Ombuddiens vir Gemeenskapskemas), veiligheidsdiensverskaffers
en so aan.
As julle hekbeveiliging het in die vorm van besoekersregisters en die skandering van
nommerplate en bestuurslisensies moet julle ook gereed wees om vrae te beantwoord rondom
die wettige rede vir die versameling en bewaring van al die persoonlike inligting wat jul op
hierdie manier insamel.

We're passionate about your success...