隐私权是南非宪法中的基本权利,备受期待的《个人信息保护法》终於在2020年7月1日正式实施,这意味著各私营或公共企业(下称"责任方")必须在12个月内(即2021年6月30日)前全面遵守《个人信息保护法》的各项规定,违者一经定罪, 最高可被判罚款1000万元南非兰特及监禁12个月。
如何满足合规要求
基于相关除外责任,《个人信息保护法》适用于自动或非自动处理以任何形式记录的个人信息的情况。责任方必须确保在处理个人信息时满足《个人信息保护法》章节中规定的个人信息合法处理条件。在实践中,应通过实施以下《个人信息保护法》"必要举措"的方式证明是否合规:
- 任命信息官 —— 如未任命信息官,则责任方的负责人(例如:总经理或行政总裁)将应自动成为信息官;
- 对数据主体人作出相关法定披露,包括共享数据主体人信息的人。例如可通过在组织网站上发布详细隐私权政策并以引用方式并入日常的合同文件(如服务或产品条款和条件);
- 制定、实施、监控和维护《个人信息保护法》合规框架;
- 开展个人信息影响评估,确保实施适当的措施和标准,满足个人信息合法处理条件;
- 制定、监控和维护2002年《促进信息获取法》中规定的手册,并确保该手册反映《个人信息保护法》附件中对《促进信息获取法》作出的修订;
- 制定内部措施并建立适当的系统,以便处理信息请求或信息访问请求;
- 开设内部宣传和培训课程;及
- 将相关强制规定纳入与运营商(即代表其处理个人信息的独立承包商)签订的协议中。
请注意,《个人信息保护法》第77H条规定:"信息监管专员有权评估公共或私人团体的相关政策和实施程序是否在总体上符合本法案的规定。"
此外,第109(3)条的规定:"在确定适当罚款时,信息监管专员须考虑任何未实施适当的政策、程序和惯例保护个人信息的行为"。
针对雇员的数据权利
根据《个人信息保护法》作出的广义上的定义,个人信息的"处理"包括但不限于个人信息的收集、接收、整理、存储、咨询、使用、传播、合并和删除。
雇主出于各种原因处理个人信息,包括遵守法律、招聘、培训、晋升、纪律、安全、工作场所的健康和安全、质量控制、客户服务、借调和雇用外国雇员、签订合同以及监督和/或评估绩效。
许多雇主还可能会处理雇员的"特殊个人信息",例如宗教信仰、人种或原属种族、工会成员资格、政治派别、健康或、生物识别信息和相关犯罪行为。
雇主必须采取适当、合理的技术和组织措施,确保其管有或控制的任何个人信息的完整性和机密性。雇主应识别合理的可预见风险,并定期核实其保障措施是否得到有效实施和更新,以应对任何新风险或缺陷。被雇主委托代表处理个人信息的第叁方应签署书面合同,表明其将采取必要的安全措施及严守有关个人信息的保护。
ENSafrica的《个人信息保护法》工具包如何帮助实现合规
ENSafrica根据国际和南非当地法律要求以及全球最佳实践设计了《个人信息保护法》工具包。
《个人信息保护法》工具包系一项全面的合规计划,能够帮助组织以快速、经济的方式追踪《个人信息保护法》合规情况并有效管理风险。我方提供从"基础工具包"到"《个人信息保护法》终极工具包"在内的各种工具包,具体可根据您的组织需求量身定制,包括:
- 长达2小时的《个人信息保护法》介绍性宣传课程(可通过视像会议开展)
- 简化版《个人信息保护法》指南
- 综合数据保护政策
- 《个人信息保护法》审计调查问卷
- 《个人信息保护法》-"注意事项"
- 信息官任命书
- 数据保留政策
- 隐私合规框架
- 标准《个人信息保护法》同意条款
- 个人信息共享政策
- 《促进信息获取法》手册
- 外部隐私权声明
- 网站隐私权政策
- Cookie政策
- 内部隐私权政策
- 密码政策
- 自带电子设备政策
- 运营商条款
- 摄影政策
- 闭路电视监控政策
- 安全漏洞政策
- 主体访问请求政策
- 雇员合同/工作申请表标准条款
- 宣传海报
- 有关上述文档的全天研讨会,包括对讲师进行的培训(可通过视像会议开展)
Originally published July 15, 2020.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
