16 April 2021
0
“Ons konsultasiebesigheid het ‘n taamlik uiteenlopende kliëntebasis. Oor die naweek, is een van ons werknemers se skootrekenaar gesteel. Dit bevat ons kliënte se persoonlike inligting en dit wil voorkom asof dit nie wagwoordbeskermd was nie, wat die data toeganklik maak. Sal dit ‘n databreuk in terme van POPIA wees, en indien wel, wat word nou van ons vereis om te doen?”
Die Wet op die Beskerming van Persoonlike Inligting 4 van 2013 (“POPIA”) vereis dat alle besighede die integriteit en vertroulikheid van persoonlike inligting in hul besit, beveilig. Dit is belangrik om te onthou dat POPIA in werking is vanaf 01 Julie 2020, met die uitsondering van sekere bepalings wat op 30 Junie 2021 van krag is, en dat besighede tot 01 Julie 2021 het om POPIA-nakomend te word voordat sanksies en boetes van toepassing is.
POPIA fokus op die prosessering van persoonlike inligting, en stel nuwe reëls vir die regulering hiervan. Aangesien POPIA van besighede vereis om die integriteit en vertroulikheid van persoonlike inligting in hul besit te beveilig, val ‘n databreuk binne die trefwydte van die regsraamwerk deur POPIA gestel, en het besighede in hierdie opsig sekere verpligtinge.
POPIA definieer nie databreuke nie, maar dit is duidelik dat ‘n databreuk plaasgevind het wanneer daar redelike gronde is om te glo dat enige ongemagtigde persoon toegang tot of persoonlike inligting onder die beheer van ‘n besigheid, verkry het, of as data doelbewus of per ongeluk verloor, gedeel of vernietig is. Databreuke kan op verskillende maniere plaasvind, insluitend maar nie beperk tot kuberkrakery, diefstal, toevallige verlies en ongemagtigde gebruik van persoonlike inligting nie. Onthou dat ‘n databreuk kan plaasvind óf deur fisiese óf elektroniese wyse. Dit beteken dat die diefstal van ‘n skootrekenaar wat potensieel persoonlike inligting van jou kliënte bevat, op ‘n databreuk in terme van POPIA sal neerkom.
Sou ‘n databreuk plaasvind, vereis POPIA dat besighede die Inligtingsreguleerder in kennis stel, sowel as die persoon of persone wie se data in gevaar gestel is (“datasubjekte”) so gou as redelikerwys moontlik nadat die breuk ontdek is. Besighede moet ook hul eie ondersoek instel om die aard, omvang en moontlike impak van die breuk te bepaal, sowel as stappe neem om enige nagevolge te verminder.
Hierdie kennisgewing moet op skrif wees en moet voldoende inligting bevat om datasubjekte in staat te stel om beskermende stappe te neem teen die moontlike nagevolge wat vanuit die databreuk kan vloei. Sodanige kennisgewing moet die moontlike gevolge van die databreuk insluit, asook ‘n beskrywing van die maatreëls wat die besigheid (as verantwoordelike party) geneem het of beoog om te neem om die databreuk aan te spreek, aanbevelings van die stappe wat die datasubjekte kan neem om die moontlike nagevolge van die databreuk te versag, en die identiteit van die persoon wat ongemagtigde toegang vekry het (indien bekend).
Die kennisgewing moet aan die betrokke datasubjek gekommunikeer word op enige van die volgende maniere:
• Deur die pos aan die datasubjek se laaste bekende fisiese- of posadres.
• Deur e-pos aan die laaste bekende e-pos adres van die datasubjek.
• Geplaas in ‘n prominente posisie op die verantwoordelike party se webtuiste.
• Gepubliseer in die nuusmedia.
• Gekommunikeer op enige ander manier soos aangedui deur die Inligtingsreguleerder.
In jou situasie, word daarvolgens van jou besigheid verwag om die opsies te oorweeg om die moontlike slegte nagevolge van die breuk te beperk. Sou julle die skootrekenaar van ‘n afstand kan skoonvee, of sodanige kan naspeur of enkripteer, moet sodanige opsies oorweeg word.
Daar sal ook van jou vereis word om al die datasubjekte wie se data in gevaar gestel is (tensy die identiteit van sodanige datasubjekte nie vasgestel kan word nie), sowel as die Inligtingsreguleerder, so gou as redelik moontlik nadat julle bewus geraak het van die databreuk, daaroor in te lig. Die kommunikasie van inligting in die kennisgewing moet in lyn met die prosedures soos hierbo uiteengesit, wees.
As jou besigheid nog nie ‘n beleid wat databreuke aanspreek, in plek het nie, mag dit raadsaam wees om die hulp van ‘n POPIA- of datasekuriteitspesialis te kry om jou te help om die korrekte prosesse en prosedures in plek te kry om beide enige moontlike toekomstige databreuke te keer én te hanteer.