Protection of Personal Information Act (POPIA)

De Protection of Personal Information Act (POPIA) is de gegevensbeschermingswet van Zuid-Afrika, volledig afdwingbaar sinds 1 juli 2021. De wet stelt acht voorwaarden vast voor rechtmatige verwerking: verantwoording, verwerkingsbeperking, doelspecificatie, beperking van verdere verwerking, informatiekwaliteit, openheid, beveiligingswaarborgen en deelname van betrokkenen. POPIA is van toepassing op elke organisatie die persoonsgegevens verwerkt van betrokkenen in Zuid-Afrika, of die apparatuur in Zuid-Afrika gebruikt voor verwerking, tenzij de verwerking slechts doorvoer betreft.

POPIA wordt gehandhaafd door de Information Regulator, die handhavingsberichten kan uitvaardigen, boetes kan opleggen tot ZAR 10 miljoen en strafrechtelijke overtredingen kan doorverwijzen voor vervolging met mogelijke gevangenisstraf. Net als de GDPR vereist POPIA een rechtsgrondslag voor verwerking, kent betrokkenen rechten op inzage, correctie en verwijdering toe, en verplicht melding van datalekken aan zowel de toezichthouder als getroffen personen. Een opvallend kenmerk is de regulering van bijzondere persoonsgegevens (waaronder biometrische gegevens, religieuze overtuigingen en vakbondslidmaatschap) en de specifieke regels voor de verwerking van persoonsgegevens van kinderen.