POPIA-nakoming vir skole: Wat elke prinsipaal moet weet
Suid-Afrikaanse skole hou groot hoeveelhede leerder- en ouerdata — ID-nommers, mediese besonderhede, akademiese rekords, fooi-inligting — tog is baie prinsipale en SGB’s onseker oor wat POPIA vereis of hoe om boetes van tot R10 miljoen te vermy. Die Wet op Beskerming van Persoonlike Inligting (POPIA) is sedert 1 Julie 2021 in volle werking, en die Inligtingsreguleerder kan streng strawwe vir nie-nakoming toepas. Om POPIA-nakoming vir skole reg te kry, beskerm jou gemeenskap en jou skool.
Hierdie gids verduidelik wat persoonlike inligting in ‘n skoolkonteks uitmaak, die agt voorwaardes vir wettige verwerking, toestemmingsvereistes, reëls vir databerging en bewaring, toegangversoeke en oortredingskennisgewing, en hoe om POPIA-voldoenende skoolbestuursagteware te kies. Of jy jou skool se POPIA-raamwerk opbou of bestaande beleide hersien, die volgende afdelings gee praktiese stappe in lyn met die Inligtingsreguleerder se leiding.
Wat is POPIA en waarom dit vir skole saak maak
Die Wet op Beskerming van Persoonlike Inligting (Wet 4 van 2013) is Suid-Afrika se primêre wetgewing op databeskerming, ontwerp om individue se persoonlike inligting te beskerm terwyl verantwoordelijke dataverwerking moontlik gemaak word. POPIA is van toepassing op alle organisasies — insluitend skole — wat persoonlike inligting verwerk, en stel agt voorwaardes vir wettige verwerking daar en verleen individue regte oor hul persoonlike data.
Waarom POPIA vir skole saak maak:
Skole verwerk daagliks groot hoeveelhede persoonlike inligting: leerdername, adresse, ID-nommers, mediese inligting, akademiese rekords, ouerkontakbesonderhede, finansiële inligting en meer. Ingevolge POPIA is skole “verantwoordelike partye” met wetlike verpligtings om hierdie inligting te beskerm. Nie-nakoming kan lei tot:
- Administratiewe boetes: Tot R10 miljoen of gevangenisstraf van tot 10 jaar
- Reputasieskade: Verlies van ouer- en gemeenskapstrust
- Wetlike aanspreeklikheid: Siviele eise om skadevergoeding van datasubjekte
- Regulerende optrede: Handhawing deur die Inligtingsreguleerder
- Operasionele ontwrigting: Verpligte herstel- en nakomingsmaatreëls
POPIA se agt voorwaardes vir wettige verwerking:
| Voorwaarde | Wat dit vir skole beteken |
|---|---|
| Aanspreeklikheid | Verseker nakoming van POPIA; stel ‘n Inligtingsbeampte aan en registreer by die Inligtingsreguleerder. |
| Verwerkingsbeperking | Versamel en verwerk slegs persoonlike inligting wat vir ‘n spesifieke doel nodig is. |
| Doelspesifikasie | Versamel vir spesifieke, wettige doeleindes en lig datasubjekte in oor wat jy versamel en waarom. |
| Verdere verwerkingsbeperking | Gebruik inligting slegs vir die oorspronklike doel of versoenbare doeleindes; verkry anders toestemming of steun op die wet. |
| Inligtingkwaliteit | Hou inligting akkuraat, volledig en op datum; laat korreksie toe. |
| Openheid | Wees deursigtig oor hoe jy data verwerk; verskaf kennisgewings en reageer op toegangversoeke. |
| Sekuriteitsmaatreëls | Implementeer tegniese en organisatoriese maatreëls om data te beskerm teen verlies, ongemagtigde toegang of verandering. |
| Datasubjekdeelname | Laat individue toe om hul persoonlike inligting te betrek, te korrigeer en, waar wettig, te verwyder. |
Om hierdie voorwaardes te verstaan, is die grondslag van POPIA-nakoming vir skole.
Wat maak persoonlike inligting in skole uit?
POPIA definieer “persoonlike inligting” breed as enige inligting wat verband hou met ‘n identifiseerbare, lewende, natuurlike persoon of juristiese persoon. In ‘n skoolkonteks sluit dit ‘n wye reeks data oor leerders, ouers, voogde, personeel en ander individue in.
Leerder se persoonlike inligting
Skole versamel uitgebreide persoonlike inligting oor leerders:
Identiteitsinligting: Vol name en vanne, identiteitsnommers (ID-nommers of paspoortnommers), geboortedatum, geslag, ras (indien vir verslagdoening versamel), nasionaliteit, huistaal.
Kontakinligting: Resensiële adres, posadres, e-posadresse, telefoonnommers (tuis, selfoon, noodkontakte), ouer/voog kontakbesonderhede.
Akademiese inligting: Leerdernommers (LURITS-nommers), toelatingsdatums, graad- en klastoewysings, akademiese rekords (punte, assesserings, rapporte), bywoningrekords, disciplinêre rekords, deelname aan buitemuurse aktiwiteite.
Mediese en gesondheidsinligting: Mediese toestande, allergieë, medisynvereistes, mediese hulpbesonderhede, dokterkontakbesonderhede, immuniseringsrekords, gestremdheidsinligting.
Finansiële inligting: Skoolfooibetalingsrekords, fooivrystellingsstatus, betalingsmetodes en bankbesonderhede, finansiële hulp- of beursinligting.
Biometriese inligting: Vingerafdrukke (indien vir toegangsbeheer of bywoning gebruik), fotos (vir ID-kaarte, jaarboeke, skoolrekords).
Spesiale persoonlike inligting: POPIA bied addisionele beskerming vir “spesiale persoonlike inligting”, insluitend inligting oor kinders (leerders onder 18), gesondheidsinligting en biometriese inligting. Verwerking van spesiale persoonlike inligting vereis strenger nakomingsmaatreëls en in sommige gevalle uitdruklike toestemming.
Ouer- en voog se persoonlike inligting
Skole verwerk ook persoonlike inligting oor ouers en voogde: vol name en ID-nommers, kontakbesonderhede, indiensnemingsinligting (indien relevant vir fooivrystellingsaansoeke), finansiële inligting, verhouding tot leerder.
Personeel se persoonlike inligting
Skole verwerk ook personeel se persoonlike inligting (onderhewig aan POPIA en arbeidswetgewing). Kernbeginsel: As inligting ‘n spesifieke persoon kan identifiseer, is dit persoonlike inligting ingevolge POPIA en moet dienooreenkomstig beskerm word.
Wettige verwerking en toestemming vir skole
POPIA stel agt voorwaardes daar wat skole moet nakom om persoonlike inligting wettig te verwerk (soos in die tabel hierbo opgesom). Die volgende skets praktiese stappe vir die hoofvoorwaardes, plus wanneer en hoe om toestemming te verkry.
Aanspreeklikheid en verwerkingsbeperking
Skole moet verantwoordelikheid neem vir POPIA-nakoming en verseker dat alle verwerking van persoonlike inligting aan die POPIA-voorwaardes voldoen. Dit vereis:
- Stel ‘n Inligtingsbeampte aan: Wys ‘n personeellid aan (tipies die prinsipaal of onderprinsipaal) wat verantwoordelik is vir POPIA-nakoming
- Ontwikkel beleide: Stel omvattende POPIA-beleide en -prosedures op
- Oplei personeel: Verseker dat alle personeel die POPIA-vereistes verstaan
- Gereelde oudits: Voer periodieke nakomingshersienings uit
- Dokumentasie: Hou rekords van dataverwerkingsaktiwiteite
Praktiese stappe:
- Stel ‘n Inligtingsbeampte aan en registreer by die Inligtingsreguleerder
- Ontwikkel ‘n POPIA-nakomingsbeleiddokument
- Oplei alle personeel jaarliks oor POPIA-vereistes
- Voer jaarlikse nakomingsoudits uit
- Hou ‘n register van dataverwerkingsaktiwiteite
Voorwaarde 2: Verwerkingsbeperking
Skole mag slegs persoonlike inligting verwerk wat vir ‘n spesifieke doel nodig is. Dit beteken:
- Minimale versameling: Versamel slegs inligting wat nodig is
- Geen oormatige data: Versamel nie meer inligting as nodig nie
- Doelgedrewe: Elke stuk inligting moet ‘n duidelike doel dien
Voorbeelde:
- Korrek: Versamel leerder-ID-nommers vir LURITS-registrasie (deur die wet vereis); versamel mediese inligting vir noodversorging (nodig vir leerderveiligheid).
- Verkeerd: Versamel ouer-indiensnemingsbesonderhede tensy nodig vir fooivrystellingsaansoeke; versamel leerderfoto’s vir nie-noodsaaklike doeleindes sonder toestemming.
Praktiese stappe:
- Hersien alle vorms en dataversamelpunte
- Verwyder onnodige velde uit vorms
- Dokumenteer die doel vir elke stuk versamelde inligting
- Voer gereeld oudits van dataversamelpraktyke uit
Voorwaarde 3: Doelspesifikasie
Skole moet datasubjekte (leerders en ouers) inlig oor:
- Watter inligting versamel word
- Waarom dit versamel word (die doel)
- Wie toegang daartoe sal hê
- Hoe dit gebruik sal word
Inligtingskennisgewings: Skole moet duidelike inligtingskennisgewings verskaf wanneer persoonlike inligting versamel word, wat verduidelik:
- Die doel van versameling
- Of versameling verpligtend of vrywillig is
- Gevolge van nie-verskaffing van inligting
- Wie toegang tot die inligting sal hê
- Hoe lank inligting bewaar sal word
- Datasubjekregte (toegang, korreksie, verwydering)
Praktiese stappe:
- Sluit POPIA-kennisgewings in op alle vorms (toelatingsvorms, toestemmingsvorms, ens.)
- Vertoon privaatheidskennisgewings op skoolwebwerwe
- Verskaf inligtingskennisgewings tydens ouervergaderings
- Verseker kennisgewings is in tale wat ouers verstaan
Voorwaarde 4: Verdere verwerkingsbeperking
Skole mag persoonlike inligting slegs gebruik vir die doel waarvoor dit versamel is, tensy:
- Die verdere verwerking versoenbaar is met die oorspronklike doel
- Die datasubjek toestemming tot verdere verwerking gee
- Verdere verwerking deur die wet vereis word
Voorbeelde:
- Korrek: Leerderkontakbesonderhede gebruik om rapporte te stuur (versoenbaar met oorspronklike doel); leerderinligting met provinsiale onderwysdepartement deel (deur die wet vereis).
- Verkeerd: Ouer-e-posadresse vir bemarking gebruik sonder toestemming; leerderinligting met derdepartyse vir kommersiële doeleindes deel sonder toestemming.
Praktiese stappe:
- Dokumenteer alle gebruike van persoonlike inligting
- Verkry toestemming vir enige gebruike buite die oorspronklike doel
- Hersien datadelingsooreenkomste met derdepartyse
- Verseker alle verwerking is versoenbaar met oorspronklike doeleindes
Voorwaarde 5: Inligtingkwaliteit
Skole moet verseker persoonlike inligting is:
- Akkuraat: Korrek en op datum
- Volledig: Bevat alle nodige inligting
- Nie misleidend nie: Weerspieël die ware situasie
Praktiese stappe:
- Dateer leerder- en ouerkontakbesonderhede gereeld op
- Verifieer inligtingsakkuraatheid tydens jaarlikse registrasie
- Laat datasubjekte toe om hul inligting te korrigeer
- Verwyder of korrigeer verouderde inligting vinnig
- Implementeer datavalidering in skoolbestuurstelsels
Voorwaarde 6: Openheid
Skole moet deursigtig wees oor hoe persoonlike inligting verwerk word, en datasubjekte toegang bied tot:
- Watter inligting oor hulle gehou word
- Hoe dit gebruik word
- Wie toegang daartoe het
- Hoe om hul regte uit te oefen
Praktiese stappe:
- Publiseer ‘n privaatheidsbeleid op die skoolwebwerf
- Verskaf inligtingskennisgewings wanneer data versamel word
- Reageer vinnig op toegangversoeke
- Handhaaf deursigtigheid in alle dataverwerkingsaktiwiteite
Voorwaarde 7: Sekuriteitsmaatreëls
Skole moet toepaslike tegniese en organisatoriese maatreëls implementeer om persoonlike inligting te beskerm teen:
- Verlies
- Skade
- Ongemagtigde toegang
- Ongemagtigde vernietiging
- Ongemagtigde verandering
Tegniese voorsorgmaatreëls:
- Toegangsbeheer: Beperk toegang tot gemagtigde personeel alleen
- Enkripsie: Enkripteer sensitiewe data (veral wanneer gestoor of oorgedra)
- Wagwoordbeskerming: Vereis sterk wagwoorde en gereelde veranderinge
- Vuurmure en antivirus: Beskerm stelsels teen kuberbedreigings
- Veilige rugsteune: Maak gereeld veilig rugsteun van data
- Stelselopdaterings: Hou sagteware en stelsels op datum
Organisatoriese voorsorgmaatreëls:
- Personeelopleiding: Oplei personeel oor databeskerming en sekuriteit
- Toegangsbeleide: Definieer wie toegang tot watter inligting het
- Voorvalreaksie: Ontwikkel prosedures vir sekuriteitskortkomings
- Fisiese sekuriteit: Beveilig fisiese rekords (geslote liasseerkaste, beperkte toegang)
- Besoekersbestuur: Beheer toegang tot skoolpersele en stelsels
Praktiese stappe:
- Voer ‘n sekuriteitsrisiko-evaluering uit
- Implementeer toegangsbeheer (rolgebaseerde toegang in skoolbestuurstelsels)
- Enkripteer sensitiewe data (veral leerder-ID-nommers, mediese inligting)
- Oplei personeel oor wagwoordsekuriteit en phisingbewustheid
- Ontwikkel ‘n datakorting-reaksieplan
- Hersien en dateer sekuriteitsmaatreëls gereeld op
Voorwaarde 8: Datasubjekdeelname
Datasubjekte (leerders en ouers) het regte ingevolge POPIA:
Reg van toegang:
- Versoek toegang tot persoonlike inligting wat deur die skool gehou word
- Skole moet toegang binne redelike tydraamwerke verskaf
Reg op korreksie:
- Versoek korreksie van onakkurate of onvolledige inligting
- Skole moet inligting vinnig korrigeer
Reg op verwydering:
- Versoek verwydering van persoonlike inligting (onderhewig aan wetlike bewaringsvereistes)
- Skole moet inligting verwyder wanneer nie meer nodig nie (tensy bewaring deur die wet vereis word)
Reg om te beswaar:
- Beswaar maak teen verwerking van persoonlike inligting
- Skole moet besware oorweeg en toepaslik reageer
Praktiese stappe:
- Ontwikkel prosedures vir die hantering van toegangversoeke
- Reageer op versoeke binne POPIA-tydraamwerke (tipies 30 dae)
- Hou rekords van alle toegangversoeke
- Laat datasubjekte toe om hul inligting maklik te korrigeer
- Dokumenteer besluite rakende verwyderingsversoeke
Toestemmingsvereistes vir skole
Toestemming is een manier waarop skole persoonlike inligting wettig kan verwerk, maar dit is nie altyd vereis nie. Om te verstaan wanneer toestemming nodig is en hoe om dit behoorlik te verkry, is noodsaaklik vir POPIA-nakoming.
Wanneer is toestemming vereis?
Toestemming is vereis wanneer:
- Spesiale persoonlike inligting (kinders se inligting, gesondheidsinligting, biometriese inligting) verwerk word vir doeleindes buite wat vir onderwys nodig is
- Persoonlike inligting vir bemarking of kommersiële doeleindes gebruik word
- Inligting met derdepartyse vir nie-noodsaaklike doeleindes gedeel word
- Inligting vir doeleindes buite die oorspronklike versamelingsdoel verwerk word
Toestemming is NIE vereis wanneer:
- Verwerking nodig is vir die uitvoering van ‘n kontrak (bv. skooltoelatingskontrak)
- Verwerking deur die wet vereis word (bv. verslagdoening aan provinsiale onderwysdepartement)
- Verwerking nodig is om ‘n legitieme belang te beskerm (bv. leerderveiligheid)
- Verwerking in die openbare belang is (bv. openbare gesondheidsvereistes)
Belangrik: Vir leerders onder 18 moet toestemming van ouers of voogde verkry word, nie van die leerders self nie.
Hoe om geldige toestemming te verkry
Geldige toestemming ingevolge POPIA moet wees:
- Vrywillig: Vryelik gegee sonder dwang
- Spesifiek: Verband hou met ‘n spesifieke doel
- Ingelight: Datasubjek verstaan waartoe hulle toestemming gee
- Ondubbelsinnig: Duidelik en uitdruklik (nie geïmpliseer nie)
- Herroepbaar: Kan enige tyd teruggetrek word
Toestemmingsvorms moet insluit:
- Duidelike verduideliking van watter inligting versamel word
- Spesifieke doel waarvoor toestemming gegee word
- Wie toegang tot die inligting sal hê
- Hoe lank die inligting bewaar sal word
- Reg om toestemming terug te trek
- Gevolge van nie-verskaffing van toestemming (indien van toepassing)
Praktiese stappe:
- Gebruik duidelike, eenvoudige taal in toestemmingsvorms
- Verskaf toestemmingsvorms in tale wat ouers verstaan
- Verduidelik toestemmingsvereistes tydens ouervergaderings
- Laat ouers toe om toestemming maklik terug te trek
- Hou rekords van alle gegewe en teruggetrekte toestemming
- Hersien toestemming gereeld om te verseker dit is steeds geldig
Algemene toestemmingscenario’s in skole
Fotos en media:
- Toestemming vereis vir die gebruik van leerderfoto’s in bemarkingsmateriaal, sosiale media of openbare uitstallings
- Toestemming NIE vereis vir amptelike skoolrekords of ID-kaarte nie
- Beste praktyk: Verkry jaarlikse toestemming vir mediagebruik, sodat ouers beperkings kan spesifiseer
Mediese inligting:
- Toestemming vereis vir die deel van mediese inligting buite wat vir noodversorging nodig is
- Toestemming NIE vereis vir die versameling van mediese inligting nodig vir leerderveiligheid nie
- Beste praktyk: Verkry toestemming vir die deel van mediese inligting met eksterne partye (bv. sportafrigters, ekskursie-organiseerders)
Derdeparty-deel:
- Toestemming vereis vir die deel van inligting met kommersiële derdepartyse
- Toestemming NIE vereis vir deel met provinsiale onderwysdepartement (deur die wet vereis) nie
- Beste praktyk: Verkry spesifieke toestemming vir elke derdeparty-deelreëling
Bemarkingskommunikasie:
- Toestemming vereis vir die stuur van bemarkingse-pos of SMS-boodskappe
- Toestemming NIE vereis vir noodsaaklike skoolkommunikasie (rapporte, fooistaats, noodkennisgewings) nie
- Beste praktyk: Bied opt-in vir bemarkingskommunikasie apart van noodsaaklike kommunikasie
Databerging, bewaring en oortredingskennisgewing
Skole moet persoonlike inligting veilig stoor en slegs vir so lank as nodig bewaar. Om bewaringsvereistes te verstaan, help skole om aan POPIA te voldoen terwyl hulle hul wetlike verpligtings nakom.
Veilige bergingsvereistes
Digitale berging:
- Stoor data op veilige bedieners met toegangsbeheer
- Enkripteer sensitiewe data (veral ID-nommers, mediese inligting, finansiële inligting)
- Implementeer gereelde rugsteune met enkripsie
- Gebruik veilige wolkdienste met POPIA-voldoenende verskaffers
- Beperk toegang tot gemagtigde personeel alleen
- Monitor toegangslogs gereeld
Fisiese berging:
- Stoor fisiese rekords in geslote liasseerkaste
- Beperk toegang tot bergingsareas
- Implementeer dokumentvernietigingsprosedures vir vervalde rekords
- Beveilig areas waar rekords gestoor word
- Beheer besoekertoegang tot rekordbergingsareas
Skoolbestuurstelsels:
- Kies POPIA-voldoenende sagtewareverskaffers
- Verseker data word in Suid-Afrika gestoor (of met voldoende voorsorgmaatreëls vir grensoverschrijdende oordragte)
- Verifieer dat verskaffers toepaslike sekuriteitsmaatreëls het
- Hersien dataverwerkingsooreenkomste met sagtewareverskaffers
Bewaringsperiodes
Skole moet persoonlike inligting slegs vir so lank as nodig bewaar, maar verskeie wette vereis minimum bewaringsperiodes:
| Rekordtipe | Bewaringsperiode |
|---|---|
| Akademiese rekords | Permanently (vereis deur provinsiale onderwysdepartemente) |
| Toelatingsvorms | Duur van inskrywing plus 5 jaar |
| Bywoningrekords | 5 jaar nadat leerder vertrek |
| Disciplinêre rekords | 5 jaar nadat leerder vertrek (of volgens provinsiale beleid) |
| Mediese rekords | Duur van inskrywing plus 7 jaar |
| Fooibetalingsrekords | 5 jaar (belasting- en ouditvereistes) |
| Fooivrystellingsaansoeke | 5 jaar nadat vrystellingsperiode eindig |
| Finansiële state | Permanently (SASA-vereiste) |
| Ouerkontakbesonderhede | Terwyl leerder ingeskryf is, plus 2 jaar |
| Ouer-indiensnemingsinligting | Slegs terwyl nodig vir fooivrystellingsdoeleindes |
| Personeel-indiensnemingsrekords | 3 jaar nadat indiensneming eindig (Wet op Basiese Diensvoorwaardes) |
| Salarisrekords | 5 jaar (belastingvereistes) |
Bewaringsvereistes kan per provinsie wissel. Gaan jou provinsiale onderwysdepartement se beleide na vir spesifieke vereistes.
Dat vernietigingsprosedures
Wanneer bewaringsperiodes verstryk, moet skole persoonlike inligting veilig vernietig:
Digitale data:
- Skakel permanent uit stelsels uit (nie net as verwyder merk nie)
- Verseker rugsteune word ook uitgewis
- Verifieer uitwissing is volledig
- Dokumenteer vernietigingsaktiwiteite
Fisiese rekords:
- Verknippel of verbrand papierrekords
- Verseker vernietiging is volledig en onomkeerbaar
- Dokumenteer vernietigingsaktiwiteite
- Hou rekords van wat vernietig is en wanneer
Praktiese stappe:
- Ontwikkel ‘n databewarings- en vernietigingsbeleid
- Skeduleer gereelde hersienings van gestoor data
- Vernietig vervalde rekords veilig
- Dokumenteer alle vernietigingsaktiwiteite
- Verseker sagtewareverskaffers data kan uitwis wanneer versoek
Geskryf deur
Fundisa Team