<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=3906484&amp;fmt=gif">

PoPI-Erklärung

1. Einführung

Der Protection of Personal Information Act (PoPI) ist das südafrikanische Äquivalent der EU-DSGVO und trat offiziell am 1. Juli 2021 in Kraft. Er legt einige Bedingungen für verantwortliche Parteien (in anderen Gerichtsbarkeiten als Controller bezeichnet) fest, um die personenbezogenen Daten betroffener Personen (sowohl natürlicher als auch juristischer Personen) rechtmäßig zu verarbeiten.

Das Gesetz gilt für jeden, der Aufzeichnungen jeglicher Art über die persönlichen Daten einer anderen Person führt, es sei denn, diese Aufzeichnungen unterliegen einer anderen Gesetzgebung, die diese Informationen strenger schützt. Es legt daher die Mindeststandards für den Schutz personenbezogener Daten fest. Es regelt die „Verarbeitung“ personenbezogener Daten. „Verarbeiten“ umfasst das Sammeln, Empfangen, Aufzeichnen, Organisieren, Abrufen oder Verwenden solcher Informationen; oder die Verbreitung, Verbreitung oder Bereitstellung solcher personenbezogener Daten. Das Gesetz bezieht sich auch auf Unterlagen, die Sie bereits besitzen.

Der Zweck dieser öffentlichen Unternehmenserklärung besteht darin, unseren Kunden die Maßnahmen hervorzuheben und zu demonstrieren, die wir ergriffen haben, um die Einhaltung von PoPI sicherzustellen, wenn wir in Ihrem Namen personenbezogene Daten speichern oder verarbeiten.

2. Unsere PoPI-Prinzipien

  • Wir werden personenbezogene Daten fair und rechtmäßig verarbeiten.
  • Wir werden personenbezogene Daten nur aus den von uns angegebenen rechtmäßigen Gründen verarbeiten.
  • Wir stellen sicher, dass wir über relevante und genaue Daten verfügen und diese nach Möglichkeit auf dem neuesten Stand halten.
  • Wir werden personenbezogene Daten nicht länger speichern oder aufbewahren, als es zur Erfüllung unserer vertraglichen Verpflichtungen gegenüber unseren Kunden erforderlich ist.
  • Wir werden alle personenbezogenen Daten mithilfe moderner Best-Practice-Techniken und -Technologien schützen.
  • Wir stellen sicher, dass personenbezogene Daten nicht in Länder außerhalb Südafrikas übertragen werden, ohne dass angemessene Sicherheitsvorkehrungen getroffen werden.
  • Wir tätigen keine Geschäfte mit Kindern und speichern oder verarbeiten wissentlich keine personenbezogenen Daten von Kindern.

3. Unser Ansatz für PoPI

Personenbezogene Daten können nur verarbeitet werden:

  • mit Einwilligung der „betroffenen Person“; oder
  • wenn es für den Abschluss oder die Erfüllung eines Vertrags, dessen Vertragspartei die „betroffene Person“ ist, erforderlich ist; oder
  • es ist gesetzlich vorgeschrieben; oder
  • es schützt ein berechtigtes Interesse der „betroffenen Person“; oder
  • Es ist erforderlich, Ihre berechtigten Interessen oder die Interessen eines Dritten, dem die Informationen bereitgestellt werden, zu verfolgen.
  • Sie haben das Recht, der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen. Sie können Ihre Einwilligung widerrufen oder Widerspruch einlegen, wenn Sie berechtigte Gründe für Ihren Widerspruch nachweisen können.

Eine verantwortliche Partei muss personenbezogene Daten direkt von der „betroffenen Person“ erheben, es sei denn:

Diese Informationen sind in öffentlichen Aufzeichnungen enthalten oder wurden von der betroffenen Person absichtlich veröffentlicht.
Das Sammeln der Informationen aus einer anderen Quelle beeinträchtigt das Thema nicht.
es ist für einen öffentlichen Zweck notwendig; oder um Ihre eigenen Interessen zu schützen;
Die direkte Einholung der Informationen von der betroffenen Person würde einem rechtmäßigen Zweck entgegenstehen oder ist vernünftigerweise nicht möglich.

Lumi ist;

  • Ein Datenverarbeiter für unsere Kunden (der Datenverantwortliche).
  • Ein Datenverantwortlicher für die Kontaktinformationen unserer Kunden und Lieferanten, die wir speichern und verarbeiten, um unsere Verträge zu erfüllen, Kundenanfragen zu verwalten und Menschen zu helfen, die unsere Website besuchen.
  • Ein Datenverantwortlicher für unsere Mitarbeiter, der deren personenbezogene Daten speichert und verarbeitet.

Im Rahmen unseres Vorbereitungsprozesses für PoPI überprüfen und aktualisieren wir weiterhin alle unsere internen Prozesse, Verfahren, Richtlinien, Dokumentationen und Systeme. Wir halten uns als Datenverarbeiter und Verantwortlicher an PoPI und arbeiten mit unseren Lieferanten und Drittanbietern zusammen, um sicherzustellen, dass wir gemeinsam unseren Verpflichtungen und Ihren Anforderungen nachkommen können.

Auf unserem Weg zur PoPI-Compliance haben wir eng mit unabhängigen Experten und Beratern zusammengearbeitet, um sicherzustellen, dass wir über das nötige Fachwissen verfügen, um die Vorschriften einzuhalten. Wir betrachten PoPI als ein kontinuierliches Projekt, das im Laufe der Zeit Überwachung, Verbesserung und Management erfordert.

Bei Lumi legen wir größten Wert auf Informationssicherheit und orientieren uns bereits an einer Reihe von Best-Practice-Standards der Branche, die sich auf Cybersicherheit konzentrieren, wie ISO/IEC 27001 und PCI-DSS.

Im Hinblick auf unsere Kunden, Drittanbieter oder Lieferanten und etwaige Unterauftragsverarbeiter: Wir haben eng mit allen Parteien zusammengearbeitet, um auch deren Einhaltung sicherzustellen. Verträge und Vereinbarungen wurden überprüft und wir stellen sicher, dass die notwendigen organisatorischen und technischen Kontrollen, Richtlinien und Verfahren vorhanden sind, damit wir mit der Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten zufrieden sind.

4. Datenschutzverletzungen

Ein „Datenverstoß“ ist in PoPI nicht definiert, bezieht sich jedoch im Allgemeinen auf den Zugriff oder die Erfassung personenbezogener Daten durch eine unbefugte Person. Wenn es zu einem Datenschutzverstoß kommt, besteht für die verantwortliche Partei die Verpflichtung, den Verstoß (i) der Datenschutzbehörde zu melden; und (ii) die betroffene betroffene Person (vorbehaltlich bestimmter Einschränkungen).

Die Benachrichtigung muss so schnell wie möglich nach Entdeckung der Datenschutzverletzung schriftlich erfolgen. Die Meldung muss der betroffenen Person ausreichende Informationen liefern, damit diese Schutzmaßnahmen gegen die möglichen Folgen der Datenschutzverletzung ergreifen kann.

Abgesehen von den in PoPI festgelegten Meldepflichten bei Datenschutzverletzungen kann es zusätzliche vertragliche Verpflichtungen dazu geben, was eine Organisation im Falle einer Datenschutzverletzung tun muss, wie in Vereinbarungen mit ihren Lieferanten, Kunden oder in ihrer Datenschutzrichtlinie dargelegt.

Die Nichteinhaltung der Meldepflicht stellt einen Verstoß gegen PoPI dar und kann bei Verurteilung wegen bestimmter Straftaten zu einer Freiheitsstrafe, einer Geldstrafe oder beidem führen. Soweit vertragliche Benachrichtigungs- oder sonstige Pflichten bestehen, muss eine Organisation deren Einhaltung sicherstellen, um einen Vertragsbruch zu vermeiden. 

Im Falle einer Datenschutzverletzung möchten wir unseren Kunden Folgendes bieten:

  • Eine Beschreibung der Art des Verstoßes.
  • Kontaktdaten des für den Datenschutz Verantwortlichen.
  • Alle wahrscheinlichen Folgen oder Risiken des Verstoßes.
  • Maßnahmen, die ergriffen und vorgeschlagen werden, um schädliche Auswirkungen oder Risiken für Einzelpersonen zu begrenzen.

5. Rechte der betroffenen Person

Jeder hat das Recht, informiert zu werden, wenn jemand seine persönlichen Daten sammelt oder wenn eine unbefugte Person auf seine persönlichen Daten zugegriffen hat. Darüber hinaus haben sie das Recht auf Zugang zu ihren personenbezogenen Daten und zu verlangen, dass personenbezogene Daten korrigiert oder vernichtet werden, oder sie können der Verarbeitung ihrer personenbezogenen Daten widersprechen. Lumi verpflichtet sich, eng mit seinen Kunden zusammenzuarbeiten, in deren Auftrag wir Daten speichern und verarbeiten. Durch diese Zusammenarbeit können wir am besten bestimmen, wie wir vorgehen;

  • Bearbeitung von
  • Datenzugriffsanfragen
  • Aufbewahrungsfristen
  • Daten berichtigen
  • Sicheres Löschen/Vernichten von Daten
  • Anfragen zur Datenübertragbarkeit

Ausführlichere Informationen zu diesen Rechten finden Sie in unserer globalen Datenschutzrichtlinie.

6. Was wir getan haben 

Wie oben erwähnt, betrachten wir PoPI mittlerweile als einen alltäglichen Teil des Lumi-Lebens. In diesem Abschnitt haben wir einige der Maßnahmen aufgeführt, die wir bereits ergriffen haben oder weiterhin ergreifen, sowie die Arbeit, die wir auf unserem Weg zur Compliance abgeschlossen haben.

  • Wir haben bestehende Verträge mit Kunden, Lieferanten, etwaigen Unterauftragsverarbeitern und Drittanbietern überprüft und geändert. Wie oben erwähnt, arbeiten wir eng mit diesen Stellen zusammen, um sicherzustellen, dass auch sie ihren PoPI-Verpflichtungen nachkommen.
  • Wir haben unsere Rechtsgrundlagen für die Speicherung und Verarbeitung von Daten überprüft, um sicherzustellen, dass diese rechtmäßig, fair und transparent verarbeitet werden.
  • Wir überprüfen und aktualisieren weiterhin regelmäßig unsere Prozesse, Verfahren und Richtlinien.
  • Unsere Mitarbeiter werden informiert, geschult und das Bewusstsein wächst weiter. Alle unsere Mitarbeiter werden sich zunehmend ihrer unternehmerischen Verantwortung bewusst und neue Mitarbeiter werden im Rahmen des Einarbeitungsprozesses geschult.
  • Wir haben Datenschutz-Folgenabschätzungen abgeschlossen und erhalten diese weiterhin und freuen uns über jeden Kunden, der sich mit seiner eigenen an uns wendet.
  • Die Technologie, mit der wir unsere Geschäfte betreiben, entwickelt sich ständig weiter und wir überprüfen und analysieren unsere Plattformen regelmäßig, um sicherzustellen, dass sie den erforderlichen Standards entsprechen, denen wir uns verpflichten.
  • Wir haben gemäß den Anforderungen von PoPI einen Informationsbeauftragten und einen stellvertretenden Informationsbeauftragten ernannt.
  • Da sich Systeme ständig ändern und aktualisieren, prüfen wir weiterhin die Informationen, die über Lumi fließen, und ordnen die Daten zu, um festzustellen, welche personenbezogenen Daten wir wo speichern und verarbeiten.
  • Wir verbessern unsere Cybersicherheit und implementieren ein ISMS zur akkreditierten ISO/IEC 27001-Zertifizierung.
  • Wir haben unsere Datenschutzrichtlinie aktualisiert, um unseren Kunden und betroffenen Personen ein besseres Verständnis unserer Tätigkeit und unserer Rechtsgrundlage für die Speicherung und Verarbeitung von Informationen zu vermitteln und um ihre Rechte und deren Ausübung im Detail zu erläutern.
  • Bei der Einholung der Einwilligung derjenigen, die unsere Website besuchen können oder über Kanäle wie unsere Support-Funktion oder das Live-Chat-Team um Hilfe bitten, sind wir viel klarer.
  • Als Business-to-Business-Organisation waren wir nicht verpflichtet, unsere Marketingbasis erneut zu genehmigen. Wir haben uns jedoch diejenigen angesehen, die seit über einem Jahr nicht aktiv waren, und sie um eine erneute Zustimmung gebeten.

7. Ansprechpartner(n).

Informationsbeauftragter, Südafrika:
Andrej Vladar
Andrej.vladar@lumiglobal.com

Stellvertretender Informationsbeauftragter, Südafrika:
Karmen Vladar
Karmen.vladar@lumiglobal.com

8. Datenschutzrichtlinie 

Weitere Informationen darüber, wie wir mit personenbezogenen Daten umgehen, finden Sie in unserer Datenschutzrichtlinie unter https://www.lumiglobal.com/de/datenschutzrichtlinie.

9. Änderungen dieser Erklärung

Um Sie darüber auf dem Laufenden zu halten, wie wir die Gesetze einhalten, können wir diese Erklärung von Zeit zu Zeit aktualisieren, die immer hier auf unserer Website veröffentlicht wird.

10. Dokumentenklassifizierung 

Dieses Lumi-Dokument wurde als „Öffentlich“ eingestuft. Dies bedeutet, dass Lumi davon ausgeht, dass die hierin enthaltenen Informationen außerhalb des Unternehmens frei verfügbar sind oder für die öffentliche Nutzung bestimmt sind.