Vandat die Wet op die Beskerming van Persoonlike Inligting, of POPI-Wet, in werking getree het op die 1ste Julie 2020, het vele besighede reeds opnuut begin besin oor hoe hulle persoonlike inligting stoor en gebruik. Die Wet mag moontlik ‘n nuwe las plaas op klein besighede wat al vir jare lank dieselfde beginsels gebruik het om met hulle kliënte en potensiële kliënte te kommunikeer.
Watter praktiese implikasies het die POPI-wet tot gevolg wat jy in gedagte moet hou?
Aangesien die POPI-wet vereis dat persoonlike inligting slegs gestoor kan word vir so lank as wat dit ’n spesifieke doel verrig, en dat daardie persoonlike inligting beskerm moet word, beteken dit dat jy sal moet let op waar jy die inligting stoor.
Omdat jy van inligting ontslae moet raak sodra dit nie meer relevant is nie, en gereeld jou databasisse om dié rede moet bywerk, beteken dit dat jy presies moet weet waar jy inligting stoor en hoe jy toegang daartoe verkry. Terwyl die eenvoudigste oplossing sal wees om ’n outomatiese stelsel te gebruik om van ongebruikte data ontslae te raak, beteken dit wel dat daar geen tekortkominge kan wees in die outomatiese stelsel nie, en só ’n stelsel mag kostelik wees om te ontwerp. Die POPI-wet vereis ook dat iemand aangestel moet word om verantwoordelikheid te neem vir die stoor en gebruik van inligting, en as geen outomatisering moontlik is nie, sal die verantwoordelike persoon gereeld die inligting self moet bywerk, wat tydrowend kan raak.
Jy sal ook moet aandag gee aan wat dit is wat jy stoor, asook hoekom dit gestoor word. Die POPI-wet skryf voor dat inligting slegs vir ’n spesifieke doeleinde gestoor mag word. Dit beteken dus ook dat indien jy inligting stoor wat nie ’n doel verrig nie, daar streng regsgevolge mag wees vir jou. Om die rede moet jy seker maak dat geen gestoorde inligting irrelevant of oortollig is nie. Dit is veral waar van sensitiewe data (soos bankbesonderhede) wat boonop streng beskerm moet word teen kuber-kriminele.
Hoe jy data stoor moet ook oorweeg word. Die POPI-wet vereis dat wesenlike sekuriteitstappe (beide fisies en digitaal) geneem moet word om persoonlike inligting te beskerm sodat alle wesenlike risiko’s voorkom word. Hierdie het praktiese gevolge vir jou data-infrastruktuur aangesien jy aspekte moet oorweeg soos om CCTV te installeer om ’n oog te hou op jou plaaslike data bedieners, of om jou data te enkripteer.
Volgens die wet mag jy nou ook net eenmaal iemand benader vir hul toestemming om hul data op te neem. Vir direkte bemarking beteken dit dat indien ’n individu jou eers geweier het, is jy volgens die wet verbied om hulle weer te benader. Mense wie se inligting gestoor word (data-onderwerpe) moet toegang kan verkry tot hul inligting en mag navra wie van die inligting beskik. Dit beteken dat dit saak maak wie se inligting jy versamel en gebruik, asook wie toegang het tot die inligting en dit gebruik. Tensy ’n data-onderwerp uitdruklik toestemming daarvoor gee, mag jy nie hulle inligting deel met ’n derde-party nie.
Die tyd stap aan vir alle besighede om aan die POPI-wet te voldoen. Wanneer die 1ste Julie 2021 aanbreek sal besighede aanspreeklik gehou kan word vir hulle datapraktyke. Dit beteken dat besighede voor dié sperdatum ’n data-oudit sal moet verrig om te verseker dat hulle databasisse slegs die inligting bevat wat die POPI-wet toelaat. Hulle sal ook hulself daaraan moet beywer om ’n beleide uit te voer wat die invoer, stoor, prosessering, en vernietiging van data reguleer. Om seker te maak dat jy voldoen aan die POPI-wet vereistes gaan ’n tydjie neem, aangesien doelgerigte aanpassings gemaak moet word in die manier wat jy data hanteer. Jy sal ongelukkig nie dit tot die laaste nippertjie kan los nie.
Een van die beste dinge wat besighede vorentoe kan begin doen is om prosesse in plek te sit wat POPI-wet voldoening gaan normaliseer in die dag-tot-dag bedryf van besigheidsake. Hoe gouer, hoe beter.
Verwysings:
Hierdie artikel is ‘n algemene inligtingsblad en moet nie as professionele advies gebruik word nie. Geen aanspreeklikheid kan aanvaar word vir enige foute of weglatings, of vir enige verlies of skade wat spruit uit die vertroue op enige inligting hierin nie. Kontak altyd u adviseur vir spesifieke en gedetailleerde advies. Foute en weglatings is uitgesonder (E&OE).