English
 
查看详细details
您当前所在位置:首页 奥航智讯 GDPR 查看详细
行业最新动态 会员企业动态 GDPR
POPIA比GDPR更严格的三个方面
文章来源:奥航智讯  作者:网喵  发布时间:2022-01-11  浏览次数:1810



显然《欧盟通用数据保护条例》(GDPR)启发了南非的《个人信息保护法》(POPIA),但这两项法律之间存在一些关键差异,任何在南非经营的企业都应该理解。


本文将探讨POPIA比GDPR更严格的三个重要方面。


1.POPIA涵盖有关公司的数据——而不仅仅指个人


GDPR和POPIA之间的第一个主要区别是,POPIA对“个人信息”的定义比GDPR要广泛得多,原因之一是“非常重要”。

GDPR 将“个人数据”定义为“与已识别或可识别的自然人相关的信息...”(“数据主体”)。

POPIA同样将“个人信息”定义为“......与可识别的在世自然人有关的信息...”但南非法律随后进一步扩大了这一定义,并补充说,个人信息也可能与“可识别的现有法人.....”有关。

“法人”即具有可执行权利的非生物法律实体,例如公司,公共机构或任何其他可以签订合同,拥有财产或将案件提交给法院的组织。

这意味着在南非运营的企业可能需要保护有关业务合作伙伴、供应商等的数据,就像保护有关其客户/用户的数据一样。

这不仅包含着有关这些商业实体的员工(他们是“自然人”)的数据,还意味着有关企业本身(“法人”)的数据。

更值得注意的是,欧盟即将出台的《电子隐私条例》也采取了类似的做法,将一些条款同时适用于“自然人”和“法人”。

2.POPIA对儿童数据的规定更加严格

POPIA与GDPR另一个不同的领域在它对儿童数据的处理方面。

GDPR对儿童的规定已经相当严格,侧重于直接向儿童提供“信息社会服务”(在线服务)的控制者。此类控制者在处理儿童的个人数据之前必须征得父母的同意。另外,GDPR第38条还强调了在处理儿童个人数据时对儿童的“特定保护”,特别是在出于营销或分析目的时。

相比之下,POPIA关于处理儿童数据的规则适用于您处理数据的上下文——法律不区分不同的处理目的。

但事实上是,除非您能确定《儿童法》第35条中规定的五种不同法律依据的任一种情况,否则完全禁止处理儿童数据,其中最广泛适用的是个人数据“在合格人士的同意下由儿童故意公开”。

但这项规定中有很多东西需要明确,包括什么时候可以说个人信息是儿童“故意公开”的,以及如何验证“有能力的人”是否提供了同意。

除此之外,也可以直接向南非的信息监管机构申请处理儿童数据的授权。

3.每个受POPIA保护的公司都必须任命一名高管级别的“信息官”

应GDPR的要求许多公司任命了数据保护官(DPO)来监督企业数据保护的合规性。但是,许多不定期监控数据主体或处理“特殊类别数据”的私营公司不需要任命DPO。

然而,根据POPIA要求属于法律范围的每个企业都必须任命一名信息官,并且这种任命有一些严格的条件。

信息监管机构的指导意见澄清了POPIA关于信息官员的规定的某些方面,根据信息监管机构发布的指导说明,被任命的信息官应满足以下条件:

必须是高管级别的员工;

必须直接向最高管理层报告;

必须位于南非;

必须在信息监管机构注册。

通过要求信息官是驻扎在南非的高级工作人员,目的似乎是确保信息官员能够对公司违反POPIA的行为承担法律责任。

这与GDPR对DPO的态度形成鲜明对比,根GDPR,DPO应该充当独立顾问——不必在欧盟建立或为相关组织工作。

目前尚不清楚一家未在南非成立但仍受POPIA约束的公司将如何满足南非法律的要求。(本文出自SCA安全通信联盟,转载请注明出处。)



 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司