Australian Privacy Principles: Rozsah, účel a jak dosáhnout souladu
Poznejte rozsah a účel Australian Privacy Principles a jak dosáhnout souladu pro ochranu osobních údajů a splnění předpisů ochrany soukromí.
POPI Act, neboli POPIA, je jihoafrický zákon o ochraně dat. „Protection of Personal Information Act" je obdobou GDPR EU. Odpovídá na otázky, jak, proč a kdo může shromažďovat, uchovávat a distribuovat citlivá data. Co přesně to znamená a jak můžete zajistit, aby vaše organizace byla v souladu s tímto předpisem?
Pojďme se ponořit hlouběji do toho, co je POPIA, předtím než budeme hovořit o konkrétních krocích, které vaše organizace musí podniknout, aby byla v souladu s tímto nařízením.
Jaký je rozsah POPIA?
Každý subjekt, soukromý nebo veřejný, který má sídlo v Jižní Africe nebo nemá sídlo v Jižní Africe, ale zpracovává osobní údaje v Jižní Africe, spadá do rozsahu POPIA.
Nejprve se podívejme na některé definice.
„Osobní údaje" jsou v POPIA definovány velmi široce a zahrnují:
- Jakýkoli druh identifikačních nebo kontaktních informací
- Biometrika
- Demografické údaje (jazyk, rasa, rodinný stav atd.)
- Informace o vzdělání
- Uživatelská jména a hesla
- Finanční, pracovní a trestní záznamy
Na rozdíl od GDPR, POPIA chrání nejen údaje žijících osob, ale také údaje jiných společností a organizací.
„Zpracováním" má POPIA na mysli jakoukoli operaci nebo činnost týkající se osobních údajů. To opět vede k velmi širokému rozsahu činností, jako je shromažďování, příjem, záznam, uchovávání, distribuce nebo zničení osobních údajů, abychom uvedli alespoň některé.
Existují určité výjimky, například pro veřejné orgány, které zpracovávají osobní údaje pro účely národní bezpečnosti nebo z jiných podobných důvodů. Z POPIA jste také vyňati, pokud nakládáte s osobními údaji souvisejícími s běžnými domácími činnostmi.
Jaký je účel POPIA?
Účelem POPIA je chránit osobní údaje před krádeží, zneužitím a zlomyslným jednáním. Pravidla POPIA jsou navržena tak, aby „uvedla v účinnost ústavní právo na soukromí".
Obecně řečeno, POPIA dělá 3 věci:
- Stanoví 8 podmínek, za kterých může jakákoli osoba nebo organizace zákonně zpracovávat citlivé informace.
- Popisuje pokuty a sankce za nedodržení.
- Zřizuje Informačního regulátora, který slouží jako orgán prosazující a vymáhající POPI Act.
Stručné shrnutí 8 podmínek POPIA
Soulad s 8 podmínkami je povinný pro veřejné i soukromé subjekty podle POPIA. Tyto podmínky jsou:
- Odpovědnost: Kdokoli zpracovává osobní údaje, musí dodržovat ustanovení POPIA.
- Omezení zpracování: Lze zpracovávat pouze relevantní osobní údaje.
- Specifikace účelu: Účel shromažďování dat musí být definován. Údaje nelze uchovávat déle, než je nutné.
- Omezení dalšího zpracování: Musí být zváženy důsledky způsobu shromažďování osobních údajů a jejich sdílení.
- Kvalita informací: Shromážděné osobní údaje musí být správné a nesmí zavádět.
- Otevřenost: Účel shromažďování dat musí být jasně uveden a musí být získán výslovný souhlas.
- Bezpečnostní opatření: Shromážděné osobní údaje musí být chráněny před ztrátou, poškozením a neoprávněným přístupem.
- Účast subjektu údajů: Kdokoli může požádat o nahlédnutí, jaké z jeho osobních údajů jsou uchovávány, a o odstranění záznamů.
Jak dosáhnout souladu s POPIA
Jednoroční přechodné období pro dosažení souladu s POPIA skončilo 30. června 2021, což znamená, že se začalo vymáhat 1. července 2021.
Aby vaše organizace zůstala na správné straně zákona, bude muset podniknout různé kroky k dosažení souladu s 8 podmínkami POPIA. Tyto kroky budou zahrnovat:
- Jmenování Informačního úředníka. Úředník bude odpovědný za dohled nad tím, že organizace je v souladu s POPIA, a bude komunikovat s Informačním regulátorem.
- Zaměřeno navenek: Zveřejnění zásad ochrany osobních údajů, ve kterých vysvětlíte všechna svá práva a povinnosti související se zpracováním osobních údajů.
- Interní požadavky: Vzdělávání zaměstnanců, implementace procesů, aktualizace technologií, úprava smluv s dodavateli, zajištění řádného hlášení úniků dat atd.
Stejně jako u jakéhokoli regulačního souladu budete chtít nejprve provést analýzu mezer, abyste zmapovali, jak si vaše organizace stojí v různých požadavcích. Jmenování Informačního úředníka bude také důležitým krokem k tomu, abyste se připravili na splnění všech požadavků POPIA.
Pamatujte, ochrana dat je nepřetržitý proces a bude vyžadovat neustálé monitorování a správu.
Jak Safetica zabezpečí vaše data pro soulad s POPIA?
- Safetica šifruje vaše data a chrání je v případě ztráty nebo krádeže zařízení.
- Safetica je řešení DLP, které chrání vaše data před interními hrozbami. Definujte, které operace mohou být rizikové, a blokujte je nebo nechte Safetica upozorňovat vás a vaše zaměstnance na potenciální rizika.
- Se Safetica je snadné přijmout bezpečnostní zásady a definovat oprávněné zaměstnance , kteří mohou pracovat s vašimi citlivými soubory. Můžete nastavit své bezpečnostní zásady a monitorovat, zda jsou citlivá data vaší společnosti zneužívána, a povolit přístup pouze oprávněným osobám.
- Vzdělávejte své zaměstnance pravidelně. Safetica upozorňuje vaše zaměstnance v případě rizikových operací, takže jsou více informováni o zabezpečení dat.
- Zabezpečte své pracoviště a přijměte zásady, jak pracovat s citlivými dokumenty. Safetica provádí bezpečnostní audity a poskytuje vám pravidelné reporty, které vám umožňují upravovat bezpečnostní zásady.