POPIA: Aksieplan vir jou besigheid in vier stappe
“By failing to prepare you are preparing to fail” (Benjamin Franklin)Die media is vol waarskuwings oor die gevare van die nie-nakoming van POPIA (die Wet op die Beskerming van Persoonlike Inligting). Daar is wel ernstige gevolge indien die voorskrifte nie nagekom word nie. Dit word egter nie duidelik gemaak dat jy darem nog ‘n ruim grasietydperk vir nakoming het en wel tot 30 Junie 2021.
Daar is wel groot voordele daaraan verbonde om POPIA te verstaan en die nakomingsproses te begin voordat dit verpligtend word. Daardeur gee dit jou besigheid voldoende tyd om die verpligtinge onder die knie te kry en na te kom, daar is bemarkingspotensiaal indien jy nou reeds jou kliënte in kennis kan stel dat julle reeds die verpligtinge aanspreek, en laastens, die boetes wat voorsien word, is groot; dit behoort eerder vermy te word.
Vier praktiese stappe om mee te begin ...
Voordat julle met jul aksieplan begin, neem kennis dat julle ten volle aan POPIA sal moet voldoen. Sodra julle op enige manier enige persoonlike inligting met betrekking tot 'n "onderwerp" (klante, lede, werknemers, ensovoorts) "verwerk" (versamel, gebruik, bestuur, stoor, deel, vernietig en so aan), is jy 'n "verantwoordelike party”. Min besighede gaan buite die net val. Dit is ook onwaarskynlik dat julle vrygestel sal word omdat die inligting slegs "in die loop van 'n persoonlike of huishoudelike aktiwiteit" verwerk word.
Begin met hierdie stappe -
- Bepaal eerstens watter persoonlike inligting julle besit, hoe julle dit bewaar en waarom julle dit het: Stel vas watter persoonlike inligting julle tans besit, hoe julle dit bewaar en waarom julle dit bewaar. Om sulke inligting wettig te versamel en te "verwerk", moet julle kan aantoon dat julle wettig optree, en dat julle dit redelikerwys op so 'n manier doen, dat dit nie die privaatheid van die betrokkene skend nie.
Julle moet kan aantoon dat, gegewe die doel waarvoor die inligting verwerk word, dit voldoende, relevant en nie buitensporig is nie. Data mag slegs versamel word vir 'n spesifieke doel wat verband hou met jul besigheidsaktiwiteite. Netso mag julle dit ook net bewaar vir solank as wat dit benodig word of solank as wat julle dit mag hou.
Daar is baie meer besonderhede in POPIA, maar jy kry die prentjie. Niemand mag meer persoonlike inligting versamel of bewaar sonder goeie en wettige redes nie.
- Kontroleer veiligheidsmaatreëls, weet wat julle moet doen met oortredings:
Jy moet “die integriteit en vertroulikheid van persoonlike inligting in jou besit of onder jou beheer beskerm deur gepaste en redelike tegniese en organisatoriese maatreëls te tref om ... die verlies van, skade aan of ongemagtigde vernietiging van persoonlike inligting ... en onwettige toegang tot of verwerking van persoonlike inligting te voorkom.” As daar 'redelike voorsienbare' risiko’s bestaan, moet jy kan aantoon dat julle wel gepaste stappe gedoen het om die inligting daarteen te beskerm. Kuberaanvalle geniet die meeste aandag van die media, maar daar is ook ander risiko's. Hou saam met jou span 'n strategiese sessie en spreek enige swakhede aan.
Enige werklike of vermoedelike oortredings (POPIA verwys na “veiligheidskompromieë”) moet “so gou as wat redelik moontlik is” aan die Inligtingsreguleerder en die betrokke persoon gerapporteer word.
As derde partye persoonlike inligting vir julle bewaar of verwerk, moet hulle met jul gesag optree, die inligting vertroulik hanteer en die nodige veiligheidsmaatreëls in plek hê.
- Oorweeg of julle regstreekse bemarking doen: Die meeste ondernemings beskou hulself nie as 'direkte bemarkers' nie, maar hierdie het ‘n wye definisie. Dit verwys na “enige benadering” van 'n persoon met die direkte of indirekte doel om enige goedere of dienste in die gewone loop van sake aan die betrokkene te verkoop of te bevorder of aan te bied. Deur jou kliënte per e-pos of per WhatsApp in kennis te stel van 'n nuwe produk of 'n spesiale aanbod is jy reeds in hierdie net.
As die benadering deur middel van “enige vorm van elektroniese kommunikasie, insluitend outomatiese oproepmasjiene, faksmasjiene, SMS'e of e-pos” gedoen word, moet julle streng vereistes nakom. Jy mag wel bestaande kliënte met algemene aanbiedinge nader en 'soortgelyke produkte of dienste' aan hulle bemark. Daar is wel beperkinge en ontvangers moet enige tyd die keuse kan maak om nie meer die bemarking te ontvang nie. Aan die ander kant mag potensiële nuwe kliënte slegs met hul toestemming benader word. (“Opt-in” teenoor “opt-out”.)
- Begin met prosedures en opleiding: Stel 'n Inligtingsbeampte aan om die nakomingspligte na te gaan en te aanvaar, toepaslike prosedures op te stel en om julle span op te lei om dit te implementeer. Bespreek en besluit hoe julle die data gaan versamel, verwerk, stoor, en vir hoe lank, en vir watter doel? Watter toestemmingsvorms het julle nodig, wanneer en hoe moet dit ingevul en gestoor word?
Dit is onwaarskynlik dat julle 'n POPIA probleem gaan hê as almal in die besigheid (jy ingesluit) verstaan wat die prosedures behels en dit vanselfsprekend implementeer. Sorg dat almal weet wat hulle moet doen en stel verantwoordelike individue aan om toegewysde take na te kom en te rapporteer.
Provided by Scheibert & Associates Inc
© DotNews. All Rights Reserved.