POPIA – Protection of Personal Information Act (Südafrika)
POPIA ist Südafrikas Datenschutzgesetz, in Kraft seit Juli 2021. Es legt acht Bedingungen für den rechtmäßigen Umgang mit personenbezogenen Daten fest.
Zusammenfassung
Der Protection of Personal Information Act (POPIA) ist Südafrikas umfassendes Datenschutzgesetz. Es wurde 2013 verabschiedet, trat jedoch erst am 1. Juli 2021 vollständig in Kraft. POPIA verankert das Recht auf Privatsphäre als Grundrecht und legt acht Rechtmäßigkeitsbedingungen für die Verarbeitung personenbezogener Daten fest.
- Aufsichtsbehörde: Information Regulator of South Africa.
- Geltungsbereich: Öffentliche und private Verantwortliche mit Sitz in Südafrika.
- Rechte der Betroffenen: Auskunft, Berichtigung, Löschung, Widerspruch, Benachrichtigung bei Datenpannen.
- Sanktionen: Bußgelder bis zu 10 Mio. ZAR sowie Freiheitsstrafe bis zu 10 Jahren.
Geschichte
Die Entstehung von POPIA ist eng mit der Verankerung des Rechts auf Privatsphäre in der südafrikanischen Verfassung von 1996 (Section 14) verknüpft. Die South African Law Reform Commission (SALRC) begann in den frühen 2000er Jahren mit der Ausarbeitung eines Datenschutzgesetzes, das schließlich 2013 als POPIA verabschiedet wurde.
Das Gesetz trat jedoch nur schrittweise in Kraft: Der Information Regulator wurde 2016 eingerichtet, doch die meisten operativen Bestimmungen traten erst am 1. Juli 2020 in Kraft, mit einer einjährigen Übergangsfrist bis zum 1. Juli 2021, ab der Compliance verbindlich war. Die COVID-19-Pandemie beeinflusste die Implementierung durch spezifische Regulierungen zur Verarbeitung von Gesundheitsdaten. Der Information Regulator hat seither zunehmend aktiv Ermittlungen eingeleitet und Compliance-Maßnahmen durchgesetzt.
Geltungsbereich
POPIA gilt für öffentliche und private Verantwortliche, die ihren Sitz in Südafrika haben oder automatisierte oder nicht-automatisierte Mittel in Südafrika einsetzen. Folgende Verarbeitungen sind ausgenommen:
- Rein persönliche oder haushaltsbezogene Datenverarbeitung
- Anonymisierte oder de-identifizierte Daten
- Daten, die ausschließlich zur Veröffentlichung bestimmt sind (Journalismus)
- Verarbeitung für nationale Sicherheit, öffentliche Interessen oder Strafverfolgung (mit Einschränkungen)
Das Gesetz unterscheidet zwischen personenbezogenen Daten (alle Informationen über eine identifizierbare natürliche oder juristische Person) und besonderen Kategorien (rassische/ethnische Herkunft, politische Überzeugung, religiöser/philosophischer Glaube, Gewerkschaftsmitgliedschaft, Gesundheit, Sexualleben, biometrische Daten, Strafverfolgungsinformationen, Kinderdaten).
Kernanforderungen
- Acht Rechtmäßigkeitsbedingungen: Rechenschaftspflicht, Verarbeitungsbeschränkung, Zweckspezifizierung, weitere Verarbeitung, Informationsqualität, Offenheit, Sicherheitsschutzmaßnahmen, Beteiligung der betroffenen Person.
- Informationspflicht: Betroffene müssen bei Erhebung ihrer Daten informiert werden.
- Einwilligung: Freiwillige, spezifische und informierte Einwilligung als primäre Rechtsgrundlage.
- Betroffenenrechte: Auskunft über gehaltene Daten, Berichtigung, Löschung, Widerspruch gegen Direktmarketing.
- Verarbeitungseinschränkung: Daten dürfen nur für den Erhebungszweck verwendet werden.
- Sicherheit: Angemessene technische und organisatorische Sicherheitsmaßnahmen.
- Meldung von Datenpannen: Unverzügliche Meldung an den Information Regulator und betroffene Personen.
- Internationale Transfers: Nur in Länder mit angemessenem Datenschutzniveau oder unter Garantien.
- Direktmarketing: Opt-out-Recht; strengere Opt-in-Anforderungen bei elektronischer Kommunikation.
Verwandte Frameworks
Korrekturen & Errata
POPIA (Suedafrika) ist Pendant zu GDPR — Baseline-Querverbindung fehlte.
Alle Details auf der Errata-Seite →1 Korrektur:
- Verfassungsdatum falsch: 1996 statt 1997
2 Praezisierungen.
1 Anmerkung.