POPIA (Güney Afrika Kişisel Bilgi Koruma Kanunu)

POPIA nedir?

2013 Tarih ve 4 Sayılı Kişisel Bilgi Koruma Kanunu (POPIA), Güney Afrika’nın kapsamlı veri koruma yasasıdır. 1-yıllık uyum sürecini takiben tam operasyonel etki 1 Temmuz 2020’de başladı; tam yaptırım 1 Temmuz 2021’de başladı. POPIA, Information Regulator tarafından uygulanır ve anayasal gizlilik hakkını etkili kılar. Yapı gevşek olarak AB ilkeleriyle modellenmiştir ancak taslak olarak GDPR’ı önceler (1990’larda başladı), POPIA’ya farklı Güney Afrika karakteristikleri kazandırır.

Sekiz POPIA işleme koşulu

  • Hesap verebilirlik: sorumlu taraf (veri sorumlusu eşdeğeri) uyumu sağlar.
  • İşleme sınırlaması: hukukilik, asgarilik, rıza veya gerekçe.
  • Amaç belirleme: spesifik, açıkça tanımlı amaç; yalnızca gerektiği kadar saklama.
  • Daha fazla işleme sınırlaması: orijinal amaçla uyumlu.
  • Bilgi kalitesi: doğru, tam, güncel.
  • Açıklık: Information Regulator’a ve veri sahiplerine işleme bildirimi.
  • Güvenlik güvenceleri: bütünlük, gizlilik, ihlal bildirimi.
  • Veri sahibi katılımı: erişim, düzeltme, silme hakları.

Ayırt edici POPIA özellikleri

  • Özel kişisel bilgi: dini/felsefi inançlar, ırk/etnik köken, sendika üyeliği, siyasi eğilim, sağlık, cinsel yaşam, biyometri, suç davranışı.
  • Sınır ötesi transfer: benzer korumaya sahip alıcı ülke, rıza, sözleşme ifası veya veri sahibi yararı gerektirir.
  • Çocuk verisi: 18 altı çocuklar yetkili kişi rızası gerektirir; doğrudan pazarlama için katıdır.
  • Doğrudan pazarlama: POPIA elektronik araçlarla doğrudan pazarlama için açık rıza gerektirir.
  • Cezalar: bireyler için 10M ZAR’a kadar ve/veya 10 yıl hapis; Regulator’dan idari para cezaları.

Türk şirketleri için

Güney Afrika ve Sahra-altı Afrika pazarına yönelen Türk şirketleri POPIA’nın ülke dışı kapsamına girer. POPIA’nın bazı yönleri GDPR’dan farklıdır (örneğin “sorumlu taraf” terminolojisi, özel bilgi kategorileri, doğrudan pazarlama için açık rıza standardı). Türk e-ticaret ve fintech’leri için Güney Afrika genişlemesi POPIA boşluk analizi gerektirir. Türk veri ihracatçıları Güney Afrika veri sorumlularına KVKK Madde 9 + POPIA sınır ötesi transferi çift-katmanlı uyum sağlamalıdır.

Yapın: Information Officer (POPIA-zorunlu rol) atayın; işleme faaliyetlerini Information Regulator’a kaydedin; doğrudan pazarlama için opt-in rıza akışı uygulayın.
Yapmayın: GDPR şablonlarına kelimesi kelimesine güvenmeyin — POPIA’nın 8 işleme koşulu ve Information Officer rolü yapısal olarak farklıdır.

İlgili Terimler