POPIA HANDLEIDING
WET OP BESKERMING VAN PEROONLIKE INLIGTING
Wet no. 4 van 2013
PROTECTION OF PERSONAL INFORMATION
Act 4 of 2013
Riglyne aan Sinodale en gemeente kantore om te voldoen aan die vereistes van die Wet
Saamgestel deur:
Dr Andrew Kok
Argivaris van die Ned Gerf Kerk
Dr Dewyk Ungerer
Aktuarius van die Algemene Sinode
Maart 2021
POPIA HANDLEIDING VIR DIE NG GEMEENTE __________________ (vul eie gemeente naam in) |
||
Inligtingsreguleerder |
Adv Pansy Tlakula |
JD House Stiemensstraat 27 Braamfontein Johannesburg Posbus 31533 Braamfontein Johannesburg 2017 |
Hoofinligtingsbeampte |
Dr Gustav Claassen |
Posbus 13528 Hatfield 0028 tel 012 342 0092 |
Adjunkinligtingsbeampte |
Dr Andrew Kok |
NG Kerk Argief Noordwal-wes 1 Stellenbosch Posbus 34 Stellenbosch 7599 021 882 9923 |
Gemeente Inligtingsbeampte |
Eie besonderhede |
Kontakbesonderhede van gemeente/sinode |
INLEIDING
WET OP BESKERMING VAN PEROONLIKE INLIGTING, No 4, 2013
Inleiding tot die Wet
- Doel van die Wet
Tot die bevordering van die beskerming van persoonlike inligting wat deur openbare en privaatliggame geprosesseer word. Dit beteken dat:
-
Sekere voorwaardes daargestel word ten einde minimum vereistes vir die prosessering van persoonlike inligting te vestig;
-
Om voorsiening te maak vir instelling van ʼn Inligtingsreguleerder om sekere bevoegdhede uit te oefen en om sekere pligte en werksaamhede ingevolge hierdie Wet en die Wet op die Bevordering van Toegang tot Inligting, Wet 2, 2000, te verrig
-
Om voorsiening te maak vir die uitreiking van gedragkodes
-
Om voorsiening te maak vir die regte van persone met betrekking tot ongeoorloofde elektroniese kommunikasie en geoutomatiseerde besluitneming
-
Om die vloei van persoonlike inligting oor die grense van die Republiek te reguleer
-
En om voorsiening te maak vir aangeleenthede wat daarmee in verband staan
Met erkenning dat –
-
Artikel 14 van die Grondwet van die Republiek van Suid-Afrika, 1996, voorsiening maak dat elke persoon die reg op privaatheid het;;
-
Die reg op privaatheid ook die reg op die beskerming teen onregmatige insameling, behoud (berging), verspreiding en gebruik van persoonlike inligting behels
-
Die Staat die regte in die Handves van Menseregte moet eerbiedig, beskerm, bevorder en verwesentlik
En gedagtig daaraan dat –
-
In ooreenstemming met die grondwetlike waardes van demokrasie en openheid, die noodsaaklikheid vir ekonomiese en sosiale vooruitgang, binne die raamwerk van die inligtingsamelewing, vereis dat onnodige struikelblokke ten opsigte van die vrye vloei van inligting, met inbegrip van persoonlike inligting, verwyder word.
Ten einde –
-
Die prosessering van persoonlike inligting deur openbare en privaat liggame te reguleer, in harmonie met internasionale standaarde, op ʼn wyse wat gevolg gee aan die reg op privaatheid onderhewig aan regverdigbare beperkings wat daarop gemik is om ander regte en belangrike belange te beskerm
-
Oorsig van die Wet
Hierdie wet is in November 2013 onderteken en gedeeltes het in werking getree in April 2014. In Desember 2016 is die Inligtingsreguleerder aangestel. Die res van die regulasies het op 1 Julie 2020 in werking getree en organisasies (soos bv gemeentes/sinode) moet nou teen 30 Junie 2021 aan alle wetlike vereistes voldoen.
In die omgangstaal word verwys na die wet as POPIA en ons sal deurgaans die afkorting gebruik .
2.1 Wie moet voldoen aan POPIA?
POPIA is van toepassing op enige instansie, maatskappy of organisasie wat op een of ander wyse persoonlike inligting prosesseer. Die Wet geld dus vir openbare liggame (bv. Binnelandse Sake, SAID) en privaat instansies (bv. finansiële instellings; gesondheidsorg instansies, besighede, direkte bemarkers, asook kerke).
Die Wet is dus van toepassing op gemeentes, ringe, sinodale en ander kerklike instansies wat op een of ander wyse persoonlike inligting hanteer. Gemeentes wat bv. ʼn kleuterskool of ouetehuis bedryf, moet ook daarvan bewus wees dat die persoonlike inligting van daardie mense en personeel ook onder POPIA val. Onthou ook dat enige inligting wat ʼn gemeente van minderjarige kinders berg, die toestemming van die ouers vooraf verg.
2.2 Wat beteken die prosessering van data/inligting?
Die prosessering van inligting word baie wyd deur die Wet gedefinieer. In terme van POPIA beteken prosessering van inligting enige aksie of aktiwiteit (meganies, outomaties of elektronies) wat die volgende insluit, maar nie daartoe beperk is nie: versameling, ontvangs, opname, organisering, berging, opdatering, herwinning verspreiding, samesmelting, vernietiging en uitwissing van data.
Die beskerming van persoonlike inligting is nou meer as ooit noodsaaklik omdat die ontwikkeling van die elektronika die risiko nog groter maak dat dit misbruik kan word en mense se privaatheid geskend kan word.
2.3 Kan kerke steeds data insamel en prosesseer?
Die Wet verbeid niemand om enige persoonlike inligting in te samel en daarmee te handel nie. POPIA skryf net die regmatige handelinge voor om persone te beskerm. Die Wet help om data op die korrekte wyse te prosesseer sonder om vervolging te vrees.
Daarom moet die voldoening aan die vereistes van die Wet nie as las beskou word nie, maar werk dit mee om jouself, ander persone en die kerk te beskerm.
2.4 Wat word beskou as persoonlike inligting?
Uit die onderstaande lys van tipes persoonlike inligting is dit duidelik dat kerklike kantore oor baie persoonlike inligting van lidmate beskik en derhalwe moet daar met sorg daarmee omgegaan word. Hierdie lys dui op die mees algemene inligting waaroor kerkkantore beskik, maar is nie volledig nie.
-
Identiteitsnommer/paspoortnommer
-
Geboortedatum/ouderdom
-
Telefoonnommers
-
E-posadresse
-
Fisiese adres
-
Geslag, ras en etniese oorspring
-
Foto’s, stemopnames, video-opnames (ook CCTV), biometriese data
-
Huwelikstatus en familieverwantskappe
-
Kriminele rekord
-
Private korrespondensie
-
Godsdienstige en filosofiese oortuigings en politieke opinies
-
Indiensnemingsrekords en vergoedingsinligting
-
Finansiële inligting
-
Opvoedkundige inligting
-
Fisiese en psigiese gesondheidsinligting, mediese geskiedenis, bloedgroep en seksualiteit
-
Lidmaatskap van verenigings en organisasies
Nota: Neem asseblief kennis dat hierdie inligting net van lewendige persone versamel, geberg en gebruik moet word. Inligting wat van persone geberg word wat oorlede is, moet vernietig word (vergelyk voorwaarde 7).
2.5 Hoe kan daar aan POPIA se vereistes voldoen word?
Elke gemeente of kerklike instansie moet aan die volgende aandag gee:
-
Die gemeente moet ’n bewusmakingsprogram saamstel en volg
-
’n POPIA handleiding moet opgestel word
-
’n Inligtingsbeampte moet aangestel word om toe te sien dat daar aan die eise van die Wet voldoen word
-
Lidmate moet toestemming aan die kerk- of sinodale kantoor verleen om persoonlike data die prosesseer
2.6 Wat gebeur as daar nie voldoen word aan die wet nie?
Die Wet bepaal ook dat daar ʼn maksimum boete van tot en met R 10 miljoen opgelê kan word indien ʼn verantwoordelike party nie uitvoering gee aan die bepalings van die Wet nie. Datasubjekte het die reg om ʼn regsaksies teen die verantwoordelike party in te stel en dit sou selfs moontlik wees dat, onder sekere omstandighede die Inligtingsbeampte gevangenisskap opgelê kan word
2.7 Voorwaardes vir voldoening aan die wet?
Verder voorsien die Wet agt (8) voorwaardes waaraan voldoen moet word om persoonlike inligting wettig in te samel, te verwerk, te berg en te gebruik.
Hierdie voorwaardes sal in die volgende hoofstukke bespreek word:
-
Verantwoordingspligtigheid (accountibility)
-
Beperkte prosessering (processing limitation)
-
Oogmerkspesfikasie (purpose spesific)
-
Beperkte verdere prosessering (further processing limitation)
-
Inligtingsgehalte (information quality)
-
Openheid (openness)
-
Veiligheidsvoorsorgmaatreëls (security safeguards)
-
Deelname deur “datasubjek”1
_____________________
1”datasubjek”- die persoon op wie persoonlike inligting betrekking het
VOORWAARDE 1: VERANTWOORDINGSPLIGTIGHEID
-
-
POPIA INLIGTINGSBEAMPTE
-
Elke gemeente of kerklike instansie moet ʼn inligtingsbeampte aanstel soos uiteengesit in die Wet, artikel 55.
Die verantwoordelikhede van so ʼn Inligtingsbeampte sluit die volgende in:
-
Aanmoediging tot voldoening, deur die instansie, aan die voorwaardes vir die regmatige prosessering van persoonlike inligting
-
Die hantering van versoeke wat ooreenkomstig hierdie Wet aan die liggaam gerig word
-
Om met die Reguleerder saam te werk in verband met ondersoeke wat ooreenstem met Hoofstuk 6 met betrekking tot die instansie gedoen word
-
Om andersins, voldoening deur die instansie aan die bepalings van hierdie Wet te verseker
-
Soos wat voorgeskryf mag word
Verder bepaal artikel 55 (2) dat die Inligtingsbeampte slegs hulle werksaamhede ingevolge hierdie Wet mag opneem nadat die verantwoordelike party hulle by die Reguleerder geregistreer het.
Naas die Wet (artikel 55) moet die Inligtingsbeampte ook aan die volgende bykomende vereistes voldoen (Regulasie in Staatskoerant van 14 Desember 2018):
-
ʼn voldoeningsraamwerk ontwikkel, implementeer, monitor en onderhou
-
ʼn persoonlike inligtingsimpakassessering gedoen word om te verseker dat voldoende maatreëls en standaarde bestaan ten einde te voldoen aan die voorwaardes vir die wettige verwerking van persoonlike inligting
-
ʼn Handleiding ontwikkel, gemonitor, onderhou en beskikbaar gestel word soos in artikel 11 en 51 van die wet op die Bevordering van Toegang tot Inligting, 2000 (Wet no. 2 van 2000) voorskryf
-
interne maatreëls ontwikkel word saam met voldoende stelsels om versoeke om inligting of toegang te verwerk
-
interne bewustheidsessies oor die bepaling van die Wet, regulasies ingevolge die Wet uitgevaardig, gedragskode of inligting van die Reguleerder verkry, gehou word
Die Kerkraad/kerkkantoor moet:
-
ʼn Inligtingsbeampte vir die gemeente aanwys
-
Hierdie inligtingsbeampte:
-
Is waarskynlik die kerkkantoor personeellid wat gemoeid is met al die data en inligting wat in ʼn Kerkkantoor ingesamel, geberg en gebruik word
-
het nie spesifieke kwalifikasies en/of opleiding nodig nie
-
moet hom/haar gewis van die bepalings van die Wet soos uiteengesit in hierdie handleiding
-
-
Die Kerkraad moet die Wet (POPIA) beskikbaar stel aan die inligtingsbeampte. (beskikbaar op die webwerf van die Argief https://www.kerkargief.co.za/inligtingswet/
-
Die Inligtingsbeampte moet in oorleg met die Kerkraad ʼn Inligtingsbeleid saamstel.
KONTROLELYS |
||
Aktiwiteit |
Datum voltooi |
Remedie |
|
||
|
||
|
||
|
||
|
||
|
1.2 POPIA PROSEDURE HANDLEIDING
Elke Inligtingsbeampte moet ʼn Prosedure Handleiding saamstel wat aan die vereistes van die Wet voldoen. Die Kerkraad moet hierdie handleiding goedkeur. Hierdie handleiding het ten doel om die gemeente se beleid ten opsigte van die verskering van privaatheid te bepaal.
Die handleiding moet die volgende bevat:
- Data insameling
- Tipe data
- Doel waarvoor die data ingesamel word
- Toestemming van datasubjek (lidmate)
- Berging van data
- Deursigtigheid
- Toegang tot data
- Data gebruik en beperkings
- Data berging
- Data beveiliging
- Data retensie
- Data vernietiging
- Personeel bewustheidsopleiding
- Publisering van die handleiding
Wat betref die data van die datasubjek (lidmaat) moet die volgende aandag kry:
-
Insameling: die verskillende tipe inligting wat versamel gaan word, moet omskryf word
-
Gebruik en beperkings: hoe die data gebruik gaan word, moet omskryf word. Verder moet dit duidelik gestel word waarvoor die data aangewend gaan word vir die interne funksionering van die gemeente. Dit moet ook duidelik gestel word dat geen data aan ongemagtigde persone beskikbaar gestel sal word nie
-
Berging: ʼn omskrywing van hoe en waar die data geberg gaan word
-
Beveiliging: omskryf hoe die data beveilig sal word in terme van fisiese en elektroniese sekuriteit
-
Retensie: hoe lank word die data geberg
-
Vernietiging: volledige beskrywing hoe die onbenutte en/of verouderde data vernietig gaan word
Die Kerkraad/kerkkantoor moet:
-
Die Inligtingsbeampte moet in oorleg met die Kerkraad ʼn Inligtingsbeleid en prosedure handleiding vir gebruik in die gemeente saamstel.
-
Die Inligtingsbeleid en prosedure handleiding moet die volgende bevat:
-
Welke persoon verantwoordelik is vir die insameling, bewaring en gebruik van lidmate se inligting
-
-
-
Watter inligting word deur die Kerkkantoor versamel, geberg en gebruik, bv. lidmaat inligting ens
-
Hantering van inligting wat bepaal:
-
Op welke wyse die instemming van lidmate verkry word om die inligting te versamel, te berg en te gebruik
-
Hoe toestemming van ouers verkry word wanneer inligting van minderjariges hanteer word
-
Wysigings van inligting verkry vanaf die lidmate (datasubjekte)
-
-
Metodes wat gebruik word om inligting te berg:
-
Skriftelike data
-
Elektroniese data
-
-
Metodes om inligting te beveilig:
-
Skriftelike data bv. bewaar in kluis
-
Elektroniese data: wagwoorde ens
-
-
Tydperk vir bewaring van inligting
-
Watter inligting word hoe lank geberg
-
Hoe inligting bv. geargiveer word
-
-
Vernietiging van inligting
-
Skriftelike data bv. versnippering
-
Elektroniese data wat uitgewis word
-
-
Gebruik van inligting
-
Waarvoor word watter inligting gebruik
-
Doelspesifiek data vir sekere ampte bv wat kry leraar, kerkraadslede ens
-
-
-
Sodra die Inligtingsbeampte die inligtingsbeleid en prosedure handleiding gefinaliseer het, moet alle personeellede wat op een of ander wyse van die data gebruik maak, opleiding ontvang om hulle bewus te maak van die vereistes van die Wet en hoe daar voortaan met data gewerk gaan word.
KONTROLELYS |
||
Aktiwiteit |
Datum voltooi |
Remedie |
|
||
|
VOORWAARDE 2: BEPERKTE PROSESSERING
Persoonlike inligting moet
-
Regmatig en
-
Op ʼn redelike wyse wat nie op die privaatheid van die datasubjek inbreuk maak nie, geprosesseer word
Persoonlike inligting kan slegs geprosesseer word indien
-
ʼn bevoegde persoon daartoe toestem
-
direk van die datasubjek ingesamel is
-
in die geval van minderjarige kinders, ʼn bevoegde persoon (ouer/voog)
-
noodsaaklik is vir die uitvoering van ʼn handeling
-
die regmatige belang van die datasubjek beskerm
Die verantwoordelike party dra die bewyslas vir die datasubjek se toestemming
Die Kerkraad/kerkkantoor moet:
ʼn Proses bepaal hoe:
-
Bestaande lidmate se toestemming verkry behoort te word dat hulle inligting, versamel en geberg is.
-
Verder moet toestemming ook verkry word dat hierdie inligting van lidmate gebruik mag word. Voorbeelde van hoe die inligting gebruik kan word, moet verskaf word
-
Wyse waarop ouer/voogde toestemming gee dat minderjariges se inligting versamel, geberg en gebruik mag word
-
Nuwe lidmate moet ook toestemming verleen dat hulle inligting versamel, geberg en gebruik mag word
-
Lidmate moet ook ingelig word van die wyse waarop hulle
-
Inligting gewysig kan word
-
Kerkkantoor versoek om nie meer inligting te ontvang deur
-
Skriftelik kennis te gee
-
ʼn Uitteken opsie (opt-out funksie)
-
-
-
Bepaal hoe dikwels die inligting opgedateer word
KONTROLELYS |
||
Aktiwiteit |
Datum voltooi |
Remedie |
|
||
|
||
|
||
|
||
|
VOORWAARDE 4: OOGMERKSPESIFIKASIE
Persoonlike inligting moet:
-
Vir ʼn bepaalde, uitdruklike omskrewe en regmatige oogmerk wat verband hou met die werksaamhede of aktiwiteite van die gemeente ingesamel word
Die handleiding moet die volgende omskryf:
Watter inligting benodig word
Hoe die inligting bygewerk word wat verander
Alhoewel artikel 28 van die Wet dit verbied om ʼn datasubjek se geloofs- en filosofiese oortuigings, in te samel, laat artikel 26 wel ruimte vir kerke om dit te doen
Magtiging met betrekking tot datasubjek se geloofs- of filosofiese oortuiginge
Artikel 28
(1) Die verbod op die prosessering van persoonlike inligting met betrekking tot ʼn datasubjek se geloofs- of filosofiese oortuiginge, soos in artikel 26 bedoel, is nie van toepassing nie indien die prosessering uitgevoer word deur –
(a) geestelike of geloofsverenigings, of onafhanklike afdelings van daardie verenigings indien –
(i) die inligting betrekking het op datasubjekte wat aan daardie verenigings behoort; of
(ii) dit noodsaaklik is om hul oogmerke en beginsels te bereik
(b) instellings gegrond op geloofs- of filosofiese beginsels ten opsigte van hul lede of werknemers of ander persone wat aan die instelling behoort, indien dit noodsaaklik is vir die bereiking van hul oogmerke en beginsels
Die Kerkraad/kerkkantoor moet die volgende bepaal ten opsigte van:
-
Watter inligting van lidmate ingesamel gaan word soos bv.:
-
Persoonlike inligting bv. : volle name, van, geboortedatum en identiteitsnommer
-
Adresbesonderhede bv.,: woon- en posadres
-
Kontakbesonderhede bv.: telefoon, en selfoonnommers; epos adresse
-
Ander inligting bv.: geslag, taalvoorkeur, beroep
-
Finansiële inligting, bv.: bankbesonderhede
-
-
Bepaling van doeleindes waarvoor die inligting gebruik gaan word
KONTROLELYS |
||
Aktiwiteit |
Datum voltooi |
Remedie |
|
VOORWAARDE 5: BEPERKTE VERDERE PROSESSERING
Die Kerkraad moet bepaal watter personeel/lidmate toegang tot watter persoonlike inligting mag verkry.
-
Predikante
Dit is noodsaaklik dat predikante die minimum data van lidmate tot hulle beskikking het om hulle ampswerk te kan verrig.
Dit kan in harde kopie of elektronies beskikbaar gemaak word. Die inligting moet so beskikbaar gestel word, dat die predikante die kopie in ontvangs neem en daarvoor ontvangs erken. Die beste is dat dit genommerde kopie is wat weer later terugbesorg kan word vir vernietiging. Indien dit elektronies beskikbaar gestel word, moet daar verkieslik ʼn wagwoord ook gegee word om toegang te verkry
-
Kerkkantoorpersoneel
Administratiewe en finansiële personeel van die gemeenste behoort toegang tot lidmate se inligting te verkry en te kan prosesseer. Van die personeel kan toegang tot die inligting kry, maar daar moet reëlings getref word wie die inligting kan wysig of verander. Daar moet ʼn prosedure geskep werd en toestemming gegee word ten opsigte van die personeellid wat die inligting kan wysig. Daar moet dus ʼn “hoof” of “meester” gebruiker aangewys word wat ook ander gebruikers van die nodige inligting kan voorsien.
Personeel moet ook ʼn onderneming gee om nie inligting aan enige ongemagtigde persoon te verskaf nie asook om nie die inligting onregmatig te gebruik nie. Personeel moet ten alle tye vertroulikheid handhaaf ten opsigte van die prosessering van persoonlike data/inligting
-
Kerkraadslede
Kerkraadslede het ook beperkte inligting nodig in die uitvoering van hulle pligte. Daar moet riglyne gegee word oor die minimum inligting wat hulle benodig en dit moet aan hulle beskikbaar gestel word. Kerkraadslede behoort ook net die inligting te kry in die wyke waar hulle werk en nie van ander wyke nie
Dieselfde reëling moet getref word vir bv., omgeeleiers en hulle groepe of ander belangegroepe se leiers.
Kerkraadslede/groepleiers moet ontvangs erken vir alle persoonlike inligting wat hulle van die kerkkantoor ontvang vir gemeentelike gebruik
-
Jeugwerkers en Kategese Skool personeel
Vir Jeugwerkers en kategese personeel is dit ook noodsaaklik dat hulle oor bepaalde inligting moet beskik om hulle werk te verrig.
ONTHOU: Met die inligting van kinders moet daar baie versigtig te werk gegaan word. Die Wet vereis dat waar minderjarige kinders se inligting geprosesseer word, die ouers/voogde se toestemming nodig is
Kategese personeel/groepleiers moet ontvangs erken vir alle persoonlike inligting wat hulle van die kerkkantoor ontvang
Die Kerkraad/kerkkantoor moet bepaal wie toegang tot die inligting het:
-
Watter inligting word vir administratiewe doeleindes versamel bv. vir lidmaatregisters
-
Inligting wat deur die kantoor gebruik word vir bv. Nuusbriewe, afkondigings, wykindelings, verjaarsdae, sms en ander kommunikasie met lidmate
-
Inligting wat aan leraars voorsien moet word
-
Inligting tot beskikking van sekere ampte – bv. Lidmate in wyk vir bepaalde ouderling/diaken
KONTROLELYS |
||
Aktiwiteit |
Datum voltooi |
Remedie |
|
VOORWAARDE 6: INLIGTINGSGEHALTE
Die inligtingsbeampte moet redelikerwys stappe doen ten einde te verseker dat persoonlike inligting volledig, akkuraat is, nie misleidend is nie
Inligting moet gereeld opgedateer word. Daar moet riglyne geskep word in terme van die siklusse waarin die inligting bygewerk moet word. Daar moet ook bepaal word watter inligting byna nooit verander nie (bv. naam, van geboortedatum) en ander inligting wat meermale kan verander (adres, kontakbesonderhede ens)
Die Kerkraad/kerkkantoor moet bepaal:
- Hoe die inligting op datum gehou word
- Gereeld ʼn oudit doen om te bepaal hoe volledig en relevant (op datum) die inligting is
- In die oudit moet bepaal word:
- Watter inligting byna nooit verander nie bv. persoonlike besonderhede
- Watter inligting per geleentheid verander bv. Nooiensvan, kontakbesonderhede
- Watter inligting gereeld nagegaan moet word wat dikwels verander, bv. kontakbesonderhede soos telefoonnommers
KONTROLELYS |
||
Aktiwiteit |
Datum voltooi |
Remedie |
|
||
|
VOORWAARDE 7: OPENHEID
Die Wet vereis dat die datasubjek in kennis gestel word wanneer en hoe inligting ingesamel word.
Die verantwoordelike party (gemeente) moet sorg dra vir die volgende:
-
Die datasubjek (lidmaat) moet bewus wees van die feit dat sy/haar inligting ingesamel word
-
Wie die inligting insamel (dus die naam en adres van die gemeente)
-
Doel waarvoor die inligting ingesamel word
-
Hoe die inligting aangewend gaan word
Die Kerkraad/kerkkantoor moet lidmate inlig:
-
Dat hulle inligting versamel, geberg en gebruik word
-
Waarvoor die verskillende “vlakke” van inligting gebruik gaan word
KONTROLELYS |
||
Aktiwiteit |
Datum voltooi |
Remedie |
|
HOOFSTUK 8: VEILIGHEIDSVOORSORGMAATREëLS
Aldus reg 19 is die Kerkraad verantwoordelik vir die veiligheidsmaatreëls om die integriteit en vertroulikheid van persoonlike inligting te waarborg.
(1) die Kerkraad is verantwoordelik vir die integriteit en vertroulikheid van die persoonlike inligting in sy besit of onder sy beheer deur die gebruik van toepaslike, billike tegniese en organisatoriese maatreëls om te voorkom dat daar –
(a) verlies van, skade aan of ongemagtigde vernietiging van persoonlike inligting is; en
(b) onwettige toegang is tot of vir verwerking van persoonlike inligting.
(2) Om uitvoering te gee aan subartikel (1), moet die Kerkraad billike maatreëls in plek stel om –
(a) alle redelike voorsienbare interne en eksterne risiko’s vir persoonlike inligting in sy besit of onder sy beheer te identifiseer;
(b) toepaslike veiligheidsmaatreëls teen die geïdentifiseerde risiko’s in te stel en te handhaaf;
(c) gereeld te verifieer dat die veiligheidsmaatreëls effektief toegepas word; en
(d) toesien dat die veiligheidsmaatreëls voortdurend opgedateer word in reaksie op nuwe risiko’s of tekorte aan voorheen geïmplementeerde veiligheidsmaatreëls.
(3) Die Kerkraad moet die algemeen aanvaarde sekuriteitspraktyke en -prosedures wat gewoonlik van toepassing is of in wat in terme van spesifieke bedryfs- of professionele reëls en regulasies vereis word in ag neem.
Die Kerkraad/kerkkantoor moet toesien dat die volgende vier aspekte in plek is:
- Berging van data
Wanneer daar besin word oor die berging van persoonlike inligting moet besluit word watter tipe data versamel word en wie toegang daartoe moet verkry. Dit is bepalend in die wyse waarop data geberg en beskikbaar gemaak word. Die formaat, hetsy elektroniese of papier kopie bepaal ook die berging van die inligting. Persoonlike inligting word hoofsaaklik op die volgende wyses geberg:
-
Papier weergawes van inligting: Wanneer daar papier weergawes van persoonlike inligting gehou word soos bv in doop en lidmaatregisters, wykslyste, Sondagskoolklaslyste, Bybelstudiegroeplyste, basaarlyste, ens moet dit in ’n kluis weggesluit word.
-
Elektroniese weergawes op e-stelsels: gemeentes wat persoonlike data invoer op stelsels soos Winkerk, Dolos, Finkerk, Winkerk Online, ens moet bepaal op watter toestelle hierdie sagteware beskikbaar is (bv tafelrekenaars, skootrekenaars, tablette en selfone) en verseker dat die nodige sekuriteit in plek is – nie net fisiese berging nie, maar ook toegang tot die elektroniese data (Sien ook punt 2)
-
Elektroniese dokumente: Dokumente met persoonlike inligting word dikwels versprei in Microsoft Word en Excel formaat en ook as PDF lêers. Die nodige voorsorg moet getref word sodat hierdie dokumente met ’n wagwoord beveilig is om ongemagtige toegang en lees daarvan te voorkom.
-
E-posadresse: E-posadresse wat op rekenaarstelsels geberg word kan op verskillende maniere geberg word, bv lokaal op die hardeskyf of soos bv Gmail in die wolk. Daar moet toegesien word dat dit beveilig is teen ongemagtigde toegang.
-
Webwerf: Webwerwe verskaf dikwels persoonlike inligting oor amptenare en gemeentelede. Sien toe dat skriftelike toestemming ontvang is om die inligting te publiseer. Wanneer inligting oor kinders geplaas word is die skriftelike toestemming van beide ouers/voog ook nodig. Verseker ook dat die wagwoorde vir gebruik deur die webmeester beveilig is.
-
Sosiale media: Soos met webwerwe geld dieselfde reëls vir die plaas van persoonlike inligting op Facebook, Twitter en Instagram.
-
Selfone: Gemeentes skep dikwels WhatsApp groepe op selfone vir groepskommunikasie. Daar moet verseker word dat skriftelike toestemming ontvang is dat die persoonlike inligting (selnommers) op ’n toestel geberg mag word en dat dit sigbaar sal wees vir ander groepslede. Die lidmaat moet die opsie he om die groep te kan verlaat.
-
Elektroniese Kommunikasie: Gemeentes stuur dikwels kennisgewings oor eredienste, gemeentlike aktiwiteite en Nuusbriewe per e-pos aan gemeentelede. Daar moet skriftelike toestemming van die lidmaat wees om sulke kommunikasie te ontvang en die geleentheid moet daar wees om te kan onttrek. Dit is belangrik dat hierdie e-posse dan ’n “opt-out” opsie moet hê waar die lidmaat kan onttrek.
- Beveiliging
Kerkrade moet aandag gee aan die fisiese en elektroniese beveiliging van persoonlike inligting.
Fisiese sekuriteit: Ten opsigte van die fisiese beveiliging van die gebou waar persoonlike inligting in papier en elektroniese formaat geberg word moet verseker word dat die volgende in plek is:
-
-
Kluis: Verkieslik ’n instapkluis wat groot genoeg is om registers en ook rekenaartoerusting in te berg.
-
Diefwering: voor alle vensters en deure wat na buite oopmaak.
-
Alarmstelsel: verkieslik ’n alarmstelsel wat gekoppel is aan ’n reaksie-eenheid
-
Sekuriteitskameras: waar moontlik ’n kamera-stelsel sodat toegang tot die terrein en gebou gemonitor kan word.
-
Van-terrein beveiliging: Maak seker dat die volgende in plek is:
-
Rekenaarhardeskywe (ekstern en geheuestokkies) veilig gestoor word
-
Skootrekenaars beveilig is en bewaar word.
-
-
Elektroniese sekuriteit: Ten opsigte van die elektroniese sekuriteit is daar drie belangrike sake nl. Rugsteun, wagwoorde en enkripsie.
-
Rugsteun: As ’n sekerheidsmaatreël maak seker dat
-
Rugsteun gereeld gemaak word van data op rekenaarstelsels
-
Bewaar hierdie eksterne rugsteun op ’n veilige plek. Dit is dikwels aan te raai dat dit op ’n ander terrein is.
-
Indien dit op die Wolk geberg word, dat dit beveilig is met die nodige sterk wagwoorde.
-
-
Wagwoorde: Maak seker dat
-
Sterk wagwoorde gebruik word
-
Gereelde verandering van wagwoorde plaasvind
-
ʼn Wagwoordbestuurderprogram gebruik word om al die verskillende wagwoorde van databasisse, webwerwe en stelsels bestuur kan word.
-
-
Enkripsie: Maak seker dat die volgende in plek is
-
Antivirusprogramme
-
Enkripsie programme gebruik word waar moontlik om dokumente te beskerm teen ongemagtigde toegang.
-
- Data retensie
Die Wet vereis dat inligting van datasubjekte nie langer geberg mag word as die oorspronklike oogmerk daarvan nie (artikel 14 (1) en (2)). Die Wet bepaal egter dat dit wel gebêre mag word in sekere gevalle:
-
-
Historiese, statistiese en navorsings doeleindes, en
-
Finansiële inligting
-
Raadpleeg hiervoor die Riglyne vir Bewaring soos deur die Argief van jaar tot jaar gepubliseer word. (skakel na Webwerf)
Die Wet bepaal ook dat inligting gehou mag word as dit benodig word vir die funksionering van die organisasie.
- Vernietiging van data
Vernietiging van dokumente mag slegs plaasvind met die toestemming van die Bestuurder: Argief. Dit is egter die Inligtingsbeampte se verantwoordelikheid om toe te sien dat die volgende vernietig word:
-
Oorbodige duplikaat dokumente
-
Duplikaatuitdrukke wat as werkskopieë gebruik is
-
Lyste met inligting wat nie meer benodig word nie, ens.
Vernietiging moet met sorg geskied.
-
Elektroniese data (rekenaars, dataskywe en geheue stokkies)
-
Hou rugsteundata moet vernietig word, sodat net die nuutste rugsteun beskikbaar is. Dit is goeie praktyk om weergawes te bestuur (version control)
-
Vernietig elektroniese kopieë van inligting wat saamgestel is vir ’n ander doel, maar waarvan die oorspronklike inligting reeds in databasisse vasgevang is
-
Vernietig ou hardeskywe wat in onbruik is.
-
Maak gebruik van digitale sanitasie om ou rekenaartoerusting skoon te maak. Die uitvee van die geheue is onvoldoende omdat dit gewoonlik net die pad na die rekords uitvee. Die fisiese vernietiging van ou toerusting word ook soms aanbeveel.
-
-
Harde kopieë (papier rekords)
-
Vermy om onnodige papier-uitdrukke van persoonlike data te maak
-
Moenie ongebruikte of ou inligtingstukke in die snippermandjie gooi nie
-
Sien toe dat dit verbrand, versnipper of verpulp word.
-
DIEFSTAL:
Indien ʼn rekenaar en/of hardeskyf gesteel word, meld onmiddellik aan by SAPD. Bewaar die SAPD Saaknommer vir verwysing dat data onregmatig bekom is deur diefstal
KONTROLELYS |
||
Aktiwiteit |
Datum voltooi |
Remedie |
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
VOORWAARDE 9: DEELNAME DEUR DATASUBJEK
Die datasubjek (lidmaat) het die reg om:
-
toegang te hê tot persoonlike inligting wat oor hom/haar gehou word en mag vra om toegang te kry tot eie persoonlike inligting
-
te versoek dat regstellings of skrapping gemaak word op eie persoonlike inligting en kan ook versoek dat rekords van persoonlike inligting vernietig word.
-
beswaar te maak teen die verwerking van persoonlike inligting.
Lidmate kan ook met in agneming van die Wet op die Bevordering van Toegang tot Inligting (Wet 2 van 2000) PAIA (Promotion of Access to Information Act. Act 2 of 2000) aansoek doen om met die betaling van ’n voorgeskrewe fooi toegang te kry tot inligting. Ten opsigte van Wet 4 is die volgende vorms beskikbaar op die webblad van die NG Kerk.
-
Beswaar teen verwerking van persoonlike inligting (vorm 1)
-
Versoek om regstelling of skrapping van persoonlike inligting of vernietiging of skrapping van rekord van persoonlike inligting (vorm 2)
-
Aansoek om die toestemming van ’n datasubjek vir die verwerking van persoonlike inligting vir die doel van direkte bemarking (vorm 3)
Nota: Neem kennis dat hierdie “persoonlike inligting” van lidmate wat geberg word , is die beskerming van hierdie inligting nie van toepassing op individue wat meer as twintig [20] jaar oorlede is nie.
Die Kerkraad/kerkkantoor moet
Moet toesien dat daar op hul webblad ’n skakel is waar die aansoekvorms of afgelaai kan word en/of ’n skakel na die NG Kerk se bladsy is om dit te doen.
KONTROLELYS |
||
Aktiwiteit |
Datum voltooi |
Remedie |
|
||
|
ALGEMENE BEPALINGS
Regsadvies
Artikel 86 van die Wet bepaal dat kommunikasie tussen ʼn kliënt en ʼn professionele regsadviseur (sogenaamde “geprivilegeerde inligting”) uitgesluit is van die bepalings van die Wet en lees as volg:
“Kommunikasie tussen regsadviseur en kliënt vrygestel
86. (1) Die bevoegdhede van deursoeking en beslaglegging wat opgedra is deur ‘n lasbrief wat kragtens artikel 82 uitgereik is moet, behoudens die bepalings van hierdie artikel, nie ten opsigte van-
(a) enige kommunikasie tussen ʼn professionele regsadviseur en sy of haar kliënt in verband met die verleniging van regsadvies aan die kliënt met betrekking tot sy of haar verpligtinge, aanspreeklikhede of regte; of
(b) enige kommunikasie tussen ʼn professionele regsadviseur en sy of haar kliënt, of tussen sodanige adviseur of sy of haar kliënt en ‘n ander persoon, in verband met of afwagting van verrigtinge kragtens of voortvloeiend uit hierdie Wet, met inbegrip van verrigtinge voor ‘n hof, en vir die oogmerke van sodanige verrigtinge, uitgeoefen word nie.
(2) Subartikel (1) is ook van toepassing op-
(a) ʼn afskrif of ander rekord van enige sodanige kommunikasie as wat aldaar vermeld word; en
(b) ʼn dokument of artikel ingesluit of na verwys in enige sodanige kommunikasie indien die kommunikasie gedoen is in verband met die verlenging van enige advies of, na gelang van die geval, in verband met of in afwagting van en vir die oogmerke van enige verrigtinge as wat aldaar vermeld word”.
UITKONTRAKTERING
ʼn Gemeente sou ook kan met ʼn onafhanklike operateur ʼn kontrak sluit om as agent op te tree ingevolge die Wet.
ʼn Operateur word omskryf as “’n persoon wat ingevolge ʼn kontrak of mandaat persoonlike inligting vir ʼn verantwoordelike party (gemeente) prosesseer sonder om onder die direkte gesag van daardie party te wees”. Die kontraktuur is dus nie ʼn werknemer nie, maar ʼn derde party wat namens die Gemeente die take soos omskryf in POPIA uitvoer.
Die relevante artikels in die Wet is Artikels 20 en 21:
“Inligting geprosesseer deur operateur of persoon wat kragtens magtiging optree
20. ʼn Operateur of iemand wat persoonlike inligting namens ʼn verantwoordelike party of ʼn operateur prosesseer, moet-
(a) sodanige inligting slegs met die kennis of magtiging van die verantwoordelike party prosesseer; en
(b) persoonlike inligting wat tot hul wete kom as vertroulik hanteer en moet dit nie bekend maak nie,
tensy dit regtens of in die loop van die behoorlike uitoefening van hul pligte vereis word.
Veiligheidsvoorsorgmaatreëls aangaande inligting deur operateur geprosesseer
21. (1) ʼn Verantwoordelike party moet, ingevolge ʼn skriftelike kontrak tussen die verantwoordelike party en die operateur, verseker dat ʼn operateur wat persoonlike inligting vir die verantwoordelike party prosesseer veiligheidsvoorsorgmaatreëls, in artikel 19 bedoel, instel en onderhou.
(2) Die operateur moet die verantwoordelike party onmiddellik in kennis stel indien daar redelike gronde is om te vermoed dat ʼn ongemagtigde persoon toegang tot die persoonlike inligting van ʼn datasubjek verkry het of die persoonlike inligting verkry het”.
Die gemeente sal in haar skriftelike kontrak met die operateur moet toesien dat dit onder andere die volgende bepalings bevat:
-
sien toe dat aan die Wet voldoen word en spesifiek Art. 19, dat die veiligheidsvoorsorgmaatreëls getref word;
-
onmiddellik die verantwoordelike party inlig indien enige vereistes verbreek is;
-
beskerm vertroulike inligting;
-
nie persoonlike inligting prosesseer sonder die magtiging of toestemming van die verantwoordelike party nie; en
-
toelaat van monitering en ouditering deur die verantwoordelike party om nakoming van die Wet deurgaans te verseker.
-
ʼn vrywaring van die operateur vereis indien diensvoorwaardes sou verbreek.
______________oOo_______________