14 July 2021
0
“My besigheid word bedryf in die elektroniese kommunikasie-sektor en ek is effe besorg oor wat die nuwe Wet op Kubermisdaad vir ons sal beteken en hoe dit my besigheid kan affekteer. Kan julle lig hierop werp?”
Jy is korrek dat die nuwe Wet op Kubermisdade deur ons President geteken is en sodra die datum waarop dit in werking tree aangekondig word, sal dit dan van toepassing wees op elektroniese kommunikasiediensverskaffers (“EKDV’s”) waaronder jou besigheid moontlik ook kan val.
Die Wet op Kubermisdade definieer ‘n EKDV as enige persoon wat ’n elektroniese kommunikasiediens verskaf aan die publiek, dele van die publiek, die Staat, of die intekenaars tot sodanige diens, kragtens en ooreenkomstig ’n elektroniese kommunikasiedienslisensie aan daardie persoon uitgereik ingevolge die Wet op Elektroniese Kommunikasie, 2005, of wat geag word gelisensieer of vrygestel van lisensiëring as sodanig te wees ingevolge daardie Wet; en ’n persoon wat wettige magtiging het om die bedryf of gebruik van ’n private elektroniese kommunikasienetwerk te beheer wat hoofsaaklik gebruik word vir voorsiening van elektroniese kommunikasiedienste vir die eienaar se eie gebruik en wat van lisensiëring vrygestel is ingevolge die Wet op Elektroniese Kommunikasie, 2005;.
Die Wet op Kubermisdade kriminaliseer ‘n aantal kubermisdade, insluitend wederregtelike toegang tot data of ‘n rekenaarstelsel, wederregtelike onderskepping van data, kuberbedrog en kwaadwillige kommunikasies. Dit raak so te sê enige persoon en organisasie wat ‘n rekenaartoestel gebruik en data prosesseer.
Die Wet het sommige bepalings wat oorvleuel met sekere aspekte van die Wet op Beskerming van Persoonlike Inligting, 4 van 2013 (“POPIA”). POPIA reguleer die manier waarop die regmatige prossessering en beskerming van persoonlike inligting van beide ‘n natuurlike en regspersoon uitgevoer moet word. Waar enige persoonlike inligting onderhewig is aan ongemagtigde toegang of besit, word die verpligtinge van die regmatige houer van sodanige persoonlike inligting (m.a.w. die verantwoordelike party en/of operateur, soos in POPIA gedefinieer) uiteengesit om geskikte stappe te neem om die persoonlike inligting te beveilig, en indien ‘n databreuk plaasvind of daar word vermoed dat dit plaasgevind het, redelike stappe te neem om dit aan te spreek, insluitend die rapportering van die voorval aan die Inligtingsreguleerder (die regulatoriese liggaam gevestig in terme van POPIA om voldoening aan POPIA te verseker). Die oortreders van sodanige ongemagtigde toegang of besit van persoonlike inligting sal nou skuldig wees aan ‘n misdryf onder die Wet op Kubermisdade.
Artikel 54 van die Wet op Kubermisdade dwing soortgelyke rapporteringsverpligtinge af op EKDV’s en finansiële instellings wat bewus geword het dat hul elektroniese kommunikasiediens of elektroniese kommunikasienetwerk by enige kategorie of klas van misdryf/misdrywe soos hierbo uiteengesit betrokke was.
Gevolglik is EKDV’s en finansiële instellings verplig om die ongemagtigde toegang tot die data/persoonlike inligting in hul besit aan beide die Inligtingsreguleerder en die Suid-Afrikaanse Polisiediens (“SAPD”) onderskeidelik, te rapporteer. Dit is belangrik om te let op die spesifieke tydlyne vir die rapportering van sodanige voorvalle. POPIA bepaal dat sodanige databreuk ‘so gou as wat dit redelikerwys moontlik is’ aan die Inligtingsreguleerder en data-subjek gerapporteer moet word, terwyl die Wet op Kubermisdade spesifiek opdrag gee dat sodanige misdryf aan die SAPD gerapporteer moet word nie later nie as 72 uur nadat daar van die misdryf bewus geword is nie.
Die Wet op Kubermisdade maak ook voorsiening vir onderlinge bystand met betrekking tot die ondersoek van kubermisdaad. EKDV’s of finansiële instellings wat die slagoffer van kubermisdaad is of wat, byvoorbeeld, ‘n werknemer het wat kubermisdaad pleeg, mag van vereis word om saam met wetstoepassers te werk, waar van toepassing, in hul ondersoek na kubermisdade. In sekere gevalle, mag dit die oorhandiging van data en hardeware insluit. Sodanige organisasies sal verplig wees om enige inligting wat van hulp tot die ondersoek kan wees, te bewaar.
Enige EKDV’s of finansiële instellings wat versuim om sodanige verpligtinge na te kom kan skuldig bevind word aan ‘n misdryf en met skuldigbevinding aanspreeklik wees vir ‘n boete van hoogstens R50,000.
Gegewe die impak op jou besigheid, mag dit raadsaam wees om die hulp van jou prokureur of dataveiligheidspesialis te kry om te bepaal tot watter mate jou besigheid sal moet voldoen aan die Wet op Kubermisdade en om te verseker dat jou besigheid die regte beleide en prosedures in plek het om jou verpligtinge na te kom, en dat dit ook belyn is met POPIA.