POLÍTICA DE PRIVACIDAD
1. Por qué tenemos esta política
Tenemos esta política para ayudar a guiar nuestras acciones de modo que mantengamos seguros los datos de nuestros clientes, empleados y proveedores de servicios, protejamos nuestra reputación y cumplamos todas las normativas de protección de datos pertinentes, incluida la Ley de Protección de Datos Personales (POPIA).
2. Ámbito de aplicación
Esta política se aplica a:
- Cualquier actividad en la que produzcamos o utilicemos información personal (actividades de tratamiento);
- Cualquiera que participe en actividades de tratamiento en las que produzcamos o utilicemos información personal;
- Todos los empleados, proveedores de servicios, contratistas y otras personas que tengan acceso a información personal.
3. Por qué es importante cumplir esta política
3.1 Si la organización no cumple
Nuestra reputación es nuestro mayor activo. Sin nuestra reputación, nuestras relaciones con las principales partes interesadas
3.2 En caso de incumplimiento
Esta organización sólo funciona cuando todos ponemos de nuestra parte, y todos queremos que la organización tenga éxito. Si no cumple esta política, o si descubre que no la estamos cumpliendo y no nos lo comunica, podría enfrentarse a medidas disciplinarias.
4. Nuestra política
Aunque toda la información personal debe protegerse, adoptamos un enfoque del cumplimiento basado en el riesgo. Damos prioridad a la protección de la información personal que se utiliza en nuestras actividades empresariales importantes, y en actividades que podrían tener un impacto sustancial en el derecho a la privacidad de un interesado.
Nuestra política es:
- seguir los principios de protección de la intimidad establecidos en la POPIA; y
- realizar evaluaciones de impacto sobre la protección de datos.
4.1 Respetamos el principio de privacidad de los datos
| EL PRINCIPIO | QUÉ HACEMOS |
|---|---|
| Clasificar la información personal | Identificamos y clasificamos la información personal que utilizamos y producimos. |
| Actividades de tratamiento de documentos | Documentamos todas las actividades de tratamiento para garantizar que podemos responder a las peticiones del regulador de la información y a las solicitudes de información de los interesados o terceros. |
| Especificar la finalidad del tratamiento | Especificamos y documentamos los fines para los que procesamos la información personal. |
| Fundamento jurídico de las actividades de tratamiento | Nos aseguramos de que:
|
| Tramitación mínima | Nos aseguramos de que:
|
| Obtener información personal de fuentes lícitas | Sólo obtenemos información personal de fuentes lícitas. Las fuentes lícitas de información personal incluyen:
Otras fuentes pueden ser lícitas en circunstancias especiales. Si no está seguro, hable con el Responsable Adjunto de Información. |
| Procesar con transparencia | Divulgamos todas las actividades de tratamiento a los interesados en nuestros avisos de privacidad. |
| Garantizar la calidad de la información personal | Tomamos medidas razonables para garantizar que la información personal sea completa, exacta, no engañosa y se actualice cuando sea necesario. |
| Limitar el reparto | Sólo compartimos información personal si es legal hacerlo y está éticamente justificado. Nosotros:
|
| Mantener segura la información personal | Protegemos toda la información personal que utilizamos y producimos contra violaciones de la confidencialidad, fallos de integridad o interrupciones de la disponibilidad de dicha información. Todo tratamiento de información personal debe cumplir nuestra Política de Gestión de la Seguridad de la Información. |
| Gestión de incidentes relacionados con la información personal | Todos los empleados deben notificar los incidentes de acuerdo con nuestra Política de Gestión de la Seguridad de la Información y el Procedimiento de Gestión de Incidentes. Un incidente incluye:
Los empleados deben informar inmediatamente:
Los informes deben enviarse a |
| Gestionar los periodos de conservación | Nos aseguramos de que todos los registros:
|
| Respetar los derechos de los interesados | Respetamos los derechos de los interesados a:
Todas las solicitudes de los interesados deben pasar por el Procedimiento de Solicitud de Datos de los Interesados. |
4.1 Respetamos el principio de privacidad de los datos
La alta dirección debe garantizar que se realiza una evaluación del impacto de la información personal antes de iniciar una nueva actividad de tratamiento. La evaluación de impacto sobre la protección de datos debe incluir un análisis de riesgos de la actividad.
Debemos realizar una evaluación de impacto de la información personal antes de:
- seguir tratando información personal en el marco de una actividad que no se haya sometido antes a una evaluación de impacto sobre la protección de datos;
- modificar una actividad de tratamiento existente;
- lanzar un nuevo producto o servicio;
- expandirse a otros países;
- utilizar nuevos sistemas o programas informáticos para el tratamiento de la información personal; o
compartir información personal con terceros.
Una evaluación del impacto de la información personal consta de tres fases:
- Identificar las actividades en las que se procesa la información personal.
- Rellene el cuestionario de evaluación del impacto de la protección de datos para documentar la actividad, clasificar la información y realizar una calificación del riesgo de la actividad.
Completar una investigación y evaluación adicionales con la ayuda del Responsable Adjunto de Información si la actividad tenía una calificación de riesgo alto o crítico después de cumplimentar el cuestionario de evaluación del impacto en la protección de datos.
Todas las actividades calificadas de riesgo crítico o alto durante la evaluación de impacto de la protección de datos deben someterse a una evaluación cada tres años.
5. 5. Funciones y responsabilidades
Estas son las responsabilidades con respecto a esta política:
| El responsable de información | Nuestro Director Regional para África es nuestro Responsable de Información. El Responsable de Información tiene una función de coordinación centrada en la protección de nuestra información basada en políticas y es el responsable de esta política. El Responsable de Información debe garantizar que esta política recibe el apoyo de la alta dirección en toda la organización y que la alta dirección cumple con sus responsabilidades. |
| Subdirector de Información | Los responsables de información adjuntos deben apoyar al responsable de información y son responsables de la orientación estratégica a la organización sobre la gestión del riesgo de la privacidad de los datos. Los Subdirectores de Información deben:
|
| Director de TI | El Director de TI apoya al Responsable de Información y a los Responsables de Información Adjuntos:
|
| Alta dirección | La Alta Dirección debe aplicar esta política, crear o alinear otras políticas y procesos en sus áreas de negocio con esta política, y supervisar y abogar por el cumplimiento dentro de sus áreas de negocio. La alta dirección debe garantizar que:
|
| Usuarios de la información | Todos los usuarios que tengan acceso a la información o a los sistemas de información de la organización deben:
|
| Obtener información personal de fuentes lícitas | Sólo obtenemos información personal de fuentes lícitas. Las fuentes lícitas de información personal incluyen:
Otras fuentes pueden ser lícitas en circunstancias especiales. Si no está seguro, hable con el Responsable Adjunto de Información. |
| Auditoría interna y externa | La auditoría interna y externa ofrece garantías independientes de que los procesos de gestión de riesgos, gobernanza y control interno de la organización funcionan eficazmente, incluido el cumplimiento de esta política. |
6. 6. Funciones y responsabilidades
| Interesados | La persona u organización a la que se refieren los datos personales. Esto incluye:
|
| Incidente | Un incidente incluye:
|
| Actividades de transformación | Las actividades de tratamiento son un conjunto de tareas laborales interrelacionadas que logran un resultado específico durante el cual se crea, recopila, utiliza, comparte, transforma, almacena o destruye información personal. Una actividad de procesamiento es importante si pudiéramos experimentar niveles críticos o elevados de riesgo si el proceso o la actividad se interrumpiera o dejara de poder continuar. |
| Información personal | Por información personal se entiende cualquier información relativa a una persona identificable (viva o fallecida) o a una organización existente (una empresa, un organismo público, etc.). Esto incluye la información personal de todos los clientes, miembros del personal, solicitantes de empleo, accionistas, miembros del consejo de administración, proveedores de servicios, contratistas, proveedores, miembros del público y visitantes. Algunos ejemplos son:
|
| POPIA | La Ley 4 de 2013 de protección de datos personales y su reglamento |
| Programa POPIA | El Programa POPIA es nuestro esfuerzo continuo por cumplir las disposiciones de la POPIA e incluye:
|
| Tratamiento | Cualquier operación o actividad o cualquier conjunto de operaciones relativas a información personal, incluyendo:
|
7. 7. Documentos justificativos
Debe leer esta política con:
- Procedimiento de solicitud del interesado
Procedimiento y evaluación del impacto de la información personal
HISTORIAL DE VERSIONES
| Número de documento: | #1 |
| Versión del documento: | V1.1 |
| Autoridad de aprobación de documentos: | Dany Mawas |
| Fecha de aprobación del documento: | Agosto de 2023 |
| Propietario del documento: | Kevin Wides |
| Autor(es) del documento: | Kevin Wides |
| Última actualización: | Agosto de 2023 |
| Próxima fecha de revisión: | Diciembre de 2023 |
| Visibilidad (dónde se mostrará): | Página web |
MANUAL POPIA
Definiciones
"biometría": técnica de identificación personal basada en la caracterización física, fisiológica o del comportamiento, incluidos el grupo sanguíneo, las huellas dactilares, el análisis del ADN, el escáner de retina y el reconocimiento de voz.
"código de conducta": un código de conducta emitido de conformidad con el capítulo 7
"consentimiento": toda manifestación de voluntad voluntaria, específica e informada en virtud de la cual se autoriza el tratamiento de datos personales.
"Constitución" significa la Constitución de la República de Sudáfrica, 1996.
"interesado": la persona a la que se refiere la información personal.
"desidentificar", en relación con la información personal de un interesado, significa suprimir cualquier información que...
(a) identifique al interesado; Manual POPIA Página 2 de 19
(b) pueda utilizarse o manipularse mediante un método razonablemente previsible para identificar al interesado; o
(c) pueda relacionarse mediante un método razonablemente previsible con otra información que identifique al interesado,
y "desidentificado" tiene el significado correspondiente.
"comunicación electrónica": cualquier mensaje de texto, voz, sonido o imagen enviado a través de una red de comunicaciones electrónicas que se almacena en la red o en el equipo terminal del destinatario hasta que éste lo recoge.
"sistema de archivo": cualquier conjunto estructurado de información personal, centralizado, descentralizado o disperso sobre una base funcional o geográfica, accesible con arreglo a criterios específicos.
"programa de cotejo de información": la comparación, ya sea manualmente o mediante cualquier dispositivo electrónico o de otro tipo, de cualquier documento que contenga información personal sobre diez o más interesados con uno o más documentos que contengan información personal de diez o más interesados, con el fin de producir o verificar información que pueda utilizarse para emprender cualquier acción con respecto a un interesado identificable.
"funcionario de información" de, o en relación con, un-.
(b) organismo privado significa el jefe de un organismo privado según lo contemplado en la sección 1, de la Ley de Promoción del Acceso a la Información.
"persona": persona física o jurídica.
"información personal": la información relativa a una persona física viva e identificable y, cuando proceda, a una persona jurídica existente e identificable, incluidos, entre otros, los siguientes datos
(a) información relativa a la raza, el sexo, el embarazo, el estado civil, el origen nacional, étnico o social, el color, la orientación sexual, la edad, la salud física o mental, el bienestar, la discapacidad, la religión, la conciencia, las creencias, la cultura, la lengua y el nacimiento de la persona.
(b) información relativa a la educación o al historial médico, financiero, penal o laboral de la persona.
(c) cualquier número identificativo, símbolo, dirección de correo electrónico, dirección física, número de teléfono, información de localización, identificador en línea u otra asignación particular a la persona.
(d) la información biométrica de la persona.
(e) las opiniones, puntos de vista o preferencias personales de la persona.
() la correspondencia enviada por la persona que sea implícita o explícitamente de carácter privado o confidencial o la correspondencia posterior que revele el contenido de la correspondencia original.
(g) los puntos de vista u opiniones de otro individuo sobre la persona; y
(h) el nombre de la persona si aparece con otra información personal relativa a la persona o si la divulgación del nombre en sí revelaría información sobre la persona.
"organismo privado" significa-
(a) una persona física que ejerza o haya ejercido una actividad comercial, empresarial o profesional, pero sólo en calidad de tal.
(b) una sociedad que ejerza o haya ejercido una actividad comercial, empresarial o profesional; o
(c) cualquier persona jurídica anterior o existente, pero excluye a los organismos públicos.
"tratamiento": toda operación o actividad, o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, relativas a datos personales, incluido
(a) la recogida, recepción, registro, organización, cotejo, almacenamiento, actualización o modificación, recuperación, alteración, consulta o utilización.
(b) difusión mediante transmisión, distribución o puesta a disposición en cualquier otra forma; o
(c) fusión, vinculación, así como restricción, degradación, supresión o destrucción de la información.
Por "Ley de Promoción del Acceso a la Información" se entiende la Ley de Promoción del Acceso a la Información de 2000 (Ley nº 2 de 2000).
"registro público" significa un registro que es accesible en el dominio público y que está en posesión o bajo el control de un organismo público, haya sido o no creado por dicho organismo público.
"registro": cualquier información registrada-
(a) independientemente de la forma o el soporte, incluido cualquiera de los siguientes
- (i) Escribir en cualquier material.
- (ii) la información producida, registrada o almacenada por medio de cualquier grabadora, equipo informático, ya sea hardware o software o ambos, u otro dispositivo, y cualquier material derivado posteriormente de la información así producida, registrada o almacenada.
- (iii) etiqueta, marca u otro escrito que identifique o describa cualquier cosa de la que forme parte, o a la que esté unido por cualquier medio.
- (iv) libro, mapa, plano, gráfico o dibujo.
- (v) fotografía, película, negativo, cinta u otro dispositivo en el que estén incorporadas una o varias imágenes visuales de forma que puedan reproducirse, con o sin ayuda de algún otro equipo.
(b) en posesión o bajo el control de una parte responsable.
(c) si ha sido creado o no por una parte responsable; y
(d) independientemente de su fecha de creación.
"Regulador" significa el Regulador de la Información establecido en términos de la sección 39.
"reidentificar", en relación con la información personal de un interesado, significa resucitar cualquier información que haya sido desidentificada, que-.
(a) identifique al interesado.
(b) pueda utilizarse o manipularse mediante un método razonablemente previsible para identificar al interesado; o
(c) pueden vincularse mediante una conexión razonable
"República" significa la República de Sudáfrica.
"responsable": un organismo público o privado o cualquier otra persona que, por sí sola o en colaboración con otras, determine la finalidad y los medios del tratamiento de la información personal.
"restricción" significa impedir la circulación, utilización o publicación de cualquier información personal que forme parte de un fichero, pero no suprimir o destruir dicha información.
"información personal especial": la información personal a la que se refiere el artículo 26.
"esta Ley" incluye cualquier reglamento o código de conducta elaborado en virtud de esta Ley; y
"identificador único": cualquier identificador asignado a un interesado y utilizado por un responsable a efectos de las operaciones de dicho responsable y que identifique de manera única a ese interesado en relación con dicho responsable.
Introducción
Raise Global SA (Pty) Ltd es un Proveedor de Servicios Financieros autorizado y, por lo tanto, se rige por la Ley de Servicios de Asesoramiento e Intermediación Financiera (La "FSP" en adelante) y una Empresa Privada registrada en la República de Sudáfrica con el número de registro 2018/616118/07. Raise Global SA (Pty) Ltd como ciudadano corporativo y ético suscribe la protección de la información personal. Por lo tanto, la institución ha establecido un manual para ayudar al órgano de gobierno, la administración y los empleados de Raise Global SA, a cumplir con los requisitos establecidos por el Parlamento para abordar las ramificaciones asociadas con el probable uso indebido de la información recopilada por Raise Global SA en virtud de sus relaciones e interacciones comerciales. Raise Global SA, como parte responsable, respeta el derecho a promover y proteger los derechos enunciados en los diversos proyectos de ley, leyes y reglamentos que se indican a continuación, pero también es consciente de que dicho derecho no debe infringir el derecho al progreso económico y social mediante la eliminación de barreras a la libre circulación de información, incluida la información personal. Por lo tanto, Raise Global SA, como organización y en sus procesos, se esforzará por lograr un equilibrio entre esos derechos personales y económicos en beneficio de la economía, su institución y sus partes interesadas.
Es fundamental que la organización cumpla este manual para evitar daños a la reputación, mantener buenas relaciones con los clientes y evitar multas y litigios.
Fondo
Antes de la introducción de la Ley de Información Personal, nº 4 de 2013, el público estaba expuesto a procesos no regulados de recopilación, conservación e intercambio de información personal con terceros. El Parlamento, en virtud del derecho a la intimidad y para gestionar los daños relacionados con el uso indebido de la información personal, decidió introducir legislación y reglamentos para proteger el derecho a la intimidad consagrado en la Constitución y regular el uso de la información. La legislación pretende regular la información procesada por organismos privados y públicos; establecer requisitos mínimos para la información procesada y fijar normas para compartir información a través de las fronteras.
En esencia, la ley y los reglamentos protegerán la información y la privacidad, evitarán daños al público, gestionarán el robo de identidades personales y minimizarán el fraude contra personas, entidades o personas jurídicas y el país. La información puede referirse a individuos, personas jurídicas, sociedades, fideicomisos u otros. El Regulador ha introducido varios mecanismos para salvaguardar la información personal, incluido el nombramiento de personas debidamente cualificadas en puestos de responsabilidad para que actúen como responsables de la información.
Resoluciones de los órganos rectores relativas al cumplimiento
El órgano de gobierno de Raise Global SA (Pty) Ltd respalda el Manual de Protección de Datos Personales introducido en virtud de la Ley de Protección de Datos Personales nº 4 de 2013. Raise Global SA busca alinear sus objetivos y propósitos empresariales con el espíritu y la letra de la ley a través de la implementación del manual POPI. El código ético valora la información personal recopilada por Raise Global SA y se esfuerza por protegerla y compartirla de conformidad con las leyes y reglamentos. En su afán por salvaguardar la información personal, Raise Global SA ha designado a personal debidamente cualificado para gestionar el proceso y garantizar que el cumplimiento se mantenga de forma continua y que todos los procesos sean indicativos del espíritu y la letra de la ley. Además, la responsabilidad de gestionar el riesgo asociado a la información personal es y sigue siendo responsabilidad de todos los empleados de Raise Global SA, independientemente de su rango o cargo.
Compromiso de la dirección ejecutiva
La dirección ejecutiva de Raise Global SA tiene la responsabilidad delegada del órgano de gobierno de adoptar, integrar y gestionar los procesos adecuados para procesar la información y es responsable ante el consejo de sus acciones u omisiones. La dirección ejecutiva debe asegurarse de que, cuando sea necesario, contrata o designa a los expertos o asesores necesarios para gestionar los procesos. El compromiso de la dirección ejecutiva con el proceso debe verse y enunciarse en toda la organización, tanto en sus actos como en su actitud.
Función de cumplimiento
El Oficial de Información (IO), con la asistencia de la dirección, es responsable del cumplimiento del manual de Protección de la Información Personal (POPI). El IO es el Sr. Dany Mawas y está registrado en el Regulador de la Información. El IO, con la aprobación de la dirección y el consejo, establecerá sistemas para aplicar y gestionar el proceso documentado en el manual. El IO tiene el mandato de garantizar que el manual se actualiza continuamente y sigue siendo pertinente. El manual puede revisarse trimestralmente, anualmente o cuando surja la necesidad. Todas las partes interesadas pueden ponerse en contacto con el IO para cualquier consulta o reparación siguiendo el proceso adecuado. Pueden ponerse en contacto con el OI por correo electrónico y por teléfono en los siguientes números:
Correo electrónico: dany.mawas@raisefx.com
Teléfono: 082 042 2064
Partes interesadas en el cumplimiento
Las partes interesadas de Raise Global SA incluyen el consejo de administración, la dirección, los empleados, sus socios comanditarios, los contratistas relacionados, los proveedores y otros terceros que puedan ser necesarios para apoyar las actividades de Raise Global SA en la ejecución de diversos proyectos. Raise Global SA tiene la obligación de respetar los derechos de todas las partes interesadas en lo que respecta a la información personal o los derechos enunciados en la Ley de Protección de la Información Personal 4 de 2013 (Ley POPI), sus códigos de conducta aplicables, que pueden ser modificados de vez en cuando, y el manual de Raise Global SA. Cuando sea necesario, Raise Global SA podrá solicitar la participación de las partes interesadas para determinar su satisfacción o insatisfacción con los procesos internos o para recabar formas intuitivas de procesar y salvaguardar la información.
Obligaciones de cumplimiento
Raise Global SA tiene la obligación, en virtud de la Ley POPI, de:
2. El responsable debe asegurarse de que ha obtenido el consentimiento del interesado para tratar la información, salvo en las situaciones exceptuadas.
El consentimiento del interesado es un requisito para el tratamiento de datos personales o de datos personales sensibles. La validez del consentimiento está sujeta al cumplimiento de todos los requisitos legales. Raise Global SA procesa datos relativos al personal por motivos legítimos, lo que a menudo no requiere el consentimiento; sin embargo, cuando se requiere el consentimiento en cumplimiento de una ley o reglamento, este se obtiene del interesado.
3. El responsable deberá garantizar que la información obtenida de los interesados se destina a fines empresariales legítimos.
La información obtenida de los datos del interesado debe tener fines comerciales legítimos, por lo que no debe exceder de lo que se pretende conseguir. Raise Global SA debe considerar si el negocio legítimo tiene en cuenta todos los posibles requisitos del tratamiento de datos, incluidas las posibles infracciones. La información obtenida para fines comerciales legítimos variará en función del tipo de interesado, por ejemplo, empleados, contratistas, proveedores, socios comanditarios, etc. En caso de que Raise Global SA requiera información con otros fines estadísticos, se tratará de un requisito secundario a la finalidad legítima y deberá ajustarse a dicha finalidad.
4. La parte responsable debe garantizar que la información obtenida de los empleados es para fines empresariales legítimos.
La información obtenida de los empleados debe tener fines empresariales legítimos. En este caso, estaría en consonancia con los recursos humanos y la gestión de personal en lo que respecta al contrato de trabajo. Por lo tanto, la información que suele obtenerse sería la fecha de nacimiento, el número de identificación, los antecedentes laborales, las cualificaciones, el sexo, la discapacidad (a efectos de igualdad en el empleo y análisis de necesidades), los datos de contacto de familiares o amigos en caso de emergencia, la información relativa a la familia inmediata para evaluar las necesidades de permisos compasivos, responsabilidad familiar e iniciativas de trabajo/equilibrio.
La información se regulará en función de la finalidad para la que se requiera, por ejemplo, para la ejecución o rescisión de un contrato de trabajo, contratación, retribución y prestaciones, ensiones, información de la seguridad social, viajes y gastos, evaluaciones de rendimiento, para la comunicación con los empleados, para la gestión de la empresa, como la gestión de las finanzas, la programación del trabajo y las responsabilidades, la aplicación de controles, la seguridad y la salud de los empleados, para la realización de investigaciones, la defensa de reclamaciones o litigios para el cumplimiento legal o normativo. La lista no es exhaustiva y pueden surgir otros casos que requieran información de los empleados, que se tratarán dentro de los límites legales.
5. La parte responsable debe asegurarse de que la información obtenida de sus socios comerciales tiene fines comerciales legítimos.
La información obtenida de los socios comerciales variará en función de la naturaleza del negocio, la exposición al riesgo que plantee la relación y la duración de la misma. La información puede estar relacionada con la gestión de relaciones, el desarrollo y la ejecución de estrategias, la gestión de activos, escisiones y fusiones, para facilitar adquisiciones y desinversiones, para informar sobre auditorías e investigaciones internas, para la aplicación de controles o para la elaboración de informes de gestión. La información solicitada puede ser financiera, cuentas de gestión, documentos de registro de la empresa, información sobre directores y accionistas, contratos garantizados o legítimamente esperados, registro de conflictos de intereses, entre otras cosas.
6. La parte responsable debe asegurarse de que la información obtenida de proveedores o contratistas tiene fines comerciales legítimos.
La información sensible relativa a los datos personales de proveedores o contratistas sólo podrá tratarse por razones específicas dentro de los límites de las leyes y reglamentos aplicables. En los casos en los que la solicitud de información sensible no se encuentre dentro de la lista de requisitos legítimos, sino que sea exigida por una cláusula o normativa específica, deberá obtenerse la aprobación previa de la OI y del departamento jurídico para garantizar que la finalidad está en consonancia y gestionar cualquier infracción o litigio.
7. El responsable se asegura de que la información obtenida es pertinente y exacta para el fin para el que se requiere.
La información obtenida debe ser pertinente para el fin para el que se requiere. El IO, con la ayuda del personal, debe asegurarse de que la información es exacta, ya sea recurriendo a fuentes públicas para verificar la veracidad de la información o a otras que pueda asignar la organización. No verificar la exactitud de la información puede suponer un riesgo para la organización, tanto financiero como para su reputación. Los datos personales inexactos o redundantes deben borrarse sin demora para cumplir los requisitos de pertinencia y exactitud. Las solicitudes de los interesados para actualizar la información personal deben atenderse sin demora y no deben exceder los fines de la empresa. Los registros deben conservarse y eliminarse de acuerdo con la legislación aplicable; a título orientativo, deben eliminarse adecuadamente en un plazo de cinco años a partir de la finalización de una relación comercial. Deben seguirse los procesos de eliminación utilizados por la organización.
8. El responsable velará por que la información obtenida se utilice para el fin para el que fue recogida.
Raise Global SA tiene la obligación de aplicar mecanismos para regular el acceso a los datos personales por parte del personal y garantizar que las personas con acceso a la información sólo la utilicen para los fines previstos. Los interesados deben ser informados adecuadamente sobre el tratamiento de sus datos. La explicación debe ser sencilla, clara, transparente y concisa para evitar cualquier ambigüedad. La transparencia sobre el uso previsto de los datos personales es fundamental para la protección de la información personal. Raise Global SA debe ser capaz de evaluar el impacto del tratamiento de la información personal, el grado de necesidad y si la información recopilada es proporcional al uso previsto. Deben implantarse procesos y controles para gestionar los riesgos asociados a la recopilación y el uso excesivos de datos personales.
9. La parte responsable debe garantizar que la información está segura y a salvo de cualquier violación
La organización debe aplicar procesos para proteger la información recopilada contra el uso indebido, el acceso no autorizado o la divulgación, ya sea accidental o de otro tipo, la pérdida o destrucción, la inaccesibilidad o la adquisición ilícita por parte de terceros. El uso de contraseñas, cifrado, códigos de acceso. Raise Global SA es responsable de la custodia de la información personal, incluida la que pueda ser procesada por terceros contratados por Raise Global SA, por ejemplo, aseguradoras de salud, fondos de pensiones, empresas de alquiler de vehículos. La información compartida con terceros debe ser adecuada para el fin previsto y Raise Global SA sigue siendo responsable de cualquier incumplimiento en los procesos de intercambio o recopilación de información. Raise Global SA no es responsable de las infracciones que se produzcan al compartir información con terceros, como un organismo gubernamental o en cumplimiento de una obligación legal. Cuando se comparta información a escala internacional, deberán incluirse en los acuerdos cláusulas contractuales adecuadas que salvaguarden la información personal.
10. La parte responsable debe asegurarse de que existen procesos adecuados para informar de cualquier infracción.
El personal debe informar inmediata y oportunamente de cualquier violación de la información personal para gestionar los riesgos asociados, como los daños a la reputación, y para gestionar las relaciones comerciales. El personal debe notificar las violaciones internamente y no a terceros. Una violación puede estar relacionada con el tratamiento ilegal de información personal o con el código de conducta emitido por el Regulador de la Información. El regulador de la información puede establecer de vez en cuando un código de conducta para gestionar el tratamiento de la información. Cualquier infracción de los procesos internos de Raise Global SA de información personal está sujeta al código de conducta y constituye una infracción directa del código vigente en ese momento. Todas las autoridades competentes deben ser informadas inmediatamente de cualquier infracción, ya sea real o presunta. Las infracciones pueden ser cometidas por Raise Global SA o por terceros. Las violaciones de la información personal pueden activar determinados derechos de los interesados. Los interesados tienen derechos individuales para controlar el uso de sus datos personales, acceder a ellos, solicitar su supresión o retirar su consentimiento para utilizarlos. Raise Global SA debe respetar tales decisiones y facilitar el proceso de acceso, limitación o retirada dentro de los plazos legales establecidos. El personal debe conocer los derechos de los interesados, a fin de ayudarles adecuadamente en el proceso.
11. La parte responsable se asegura de que existe un proceso de reclamación para informar de cualquier violación de la información.
Raise Global SA dispone de un procedimiento de reclamación para los interesados. El proceso se ajusta a los requisitos legislativos. Los interesados tienen derecho a presentar una reclamación cuando consideren que se ha vulnerado su derecho a la confidencialidad. La violación puede producirse durante el proceso de obtención, almacenamiento, tratamiento o comunicación de sus datos personales. Raise Global SA se toma muy en serio todas las reclamaciones, que se tramitarán oportunamente a través de los canales adecuados dentro de los plazos legales.
Procedimiento interno de reclamación
El OI tiene la autoridad última para decidir si se ha producido una infracción y la solución adecuada para resolverla. Raise Global SA también puede restringir el uso de la información personal mientras estudia la legitimidad de los derechos ejercidos por el interesado. La parte responsable o el interesado que no esté satisfecho con el resultado de una reclamación podrá dirigirse al adjudicador del regulador de la información para obtener reparación.
Reclamaciones externas
Cualquier persona puede comunicar por escrito una queja al regulador de la información. El Regulador de la Información tiene la obligación de prestar una asistencia razonable a la persona denunciante para que pueda formular una denuncia por escrito en caso de que se requiera dicha asistencia. El responsable o el interesado también tienen derecho a presentar una reclamación ante el regulador de la información si se sienten perjudicados por el resultado de la decisión del adjudicador. Una vez recibida la denuncia, el IR puede decidir investigarla, remitirla para que se aplique o decidir no dar curso a la denuncia.
Formación y sensibilización
El Responsable de Información de Raise Global SA se encarga de garantizar que todos los empleados de la organización reciban la formación adecuada en relación con el tratamiento de la información para gestionar la exposición al riesgo en su entorno de trabajo. El personal de Raise Global SA tiene la obligación de comprender qué información personal trata la organización y cuál es el procedimiento. La organización debe implicar al personal en la evaluación de la información personal para asegurarse de que comprenden la importancia de la Ley. No habrá excusa ni ignorancia, atribuida a la falta de acceso a la información por parte de ningún empleado. El incumplimiento de este manual o informar a la organización de cualquier incumplimiento del que se tenga conocimiento podría dar lugar a medidas disciplinarias. El manual se pondrá a disposición de todo el personal para garantizar que se gestionan todos los riesgos posibles y que todos los empleados están adecuadamente informados y equipados. Cualquier cambio en los procesos se comunicará a todo el personal mediante la publicación de un manual actualizado.
Relación con los reguladores/supervisores
El Responsable de Información tiene autoridad para actuar de enlace con el regulador en relación con cualquier información que deba comunicarse al regulador o en relación con cualquier información solicitada por el regulador. La posición de Raise Global SA es mantener una relación cordial y respetuosa con el regulador.
POLÍTICA DE PROTECCIÓN DE DATOS PERSONALES
1. Política de protección de datos personales
Objetivo:
El objetivo de esta política es proteger los activos de información de Raise Global SA (PTY) LTD frente a amenazas, ya sean internas o externas, deliberadas o accidentales, para garantizar la continuidad de la empresa, minimizar los daños empresariales y maximizar las oportunidades de negocio.
Esta política establece una norma general sobre la protección adecuada de la información personal dentro de Raise Global SA (PTY) LTD Proporciona principios relativos al derecho de las personas a la privacidad y a salvaguardias razonables de su información personal.
Alcance:
Esta política se aplica al propietario único o a los individuos clave, representantes y personal de Raise Global SA (PTY) LTD. La empresa y las personas clave (o la dirección) son los responsables últimos de garantizar que la seguridad de la información se gestione adecuadamente. El Responsable de Información, Dany Mawas, es responsable de:
- El desarrollo y mantenimiento de esta política.
- Garantizar que esta política esté respaldada por la documentación adecuada, como instrucciones de procedimiento.
- Garantizar que la documentación es pertinente y se mantiene actualizada.
Garantizar que esta política y sus posteriores actualizaciones se comunican a los directivos, representantes, personal y asociados pertinentes, cuando proceda.
La empresa y todas las personas, representantes y personal clave son responsables de cumplir esta política y de notificar cualquier infracción o incidente de seguridad al Responsable de Información.
La(s) persona(s) externa(s) contratada(s) para manejar la tecnología de la información de Raise Global SA (PTY) LTD debe(n) adherirse a la misma seguridad de la información que la de Raise Global SA (PTY) LTD y confirmará(n) mediante un acuerdo por separado que cuenta(n) con dichas medidas de seguridad con respecto al tratamiento de la información personal.
Principios clave:
La empresa y cada una de las personas clave, representantes y miembros del personal de Raise Global SA (PTY) LTD están comprometidos con los siguientes principios:
- Ser transparente con respecto a los procedimientos operativos estándar que rigen la recogida y el tratamiento de la información personal.
- Cumplir todos los requisitos normativos aplicables en materia de recogida y tratamiento de datos personales.
- Recopilar información personal únicamente por medios legales y justos y procesar la información personal de forma compatible con el fin para el que se recopiló.
- Cuando lo exijan las disposiciones reglamentarias, informar a las personas cuando se recojan datos personales sobre ellas.
- Tratar la información personal sensible que se recopile o procese con el máximo cuidado, tal y como prescribe la normativa.
- Cuando así lo exijan las disposiciones o directrices reglamentarias, obtener el consentimiento de las personas para procesar su información personal.
- Esforzarse por mantener la información personal exacta, completa, actualizada y fiable para el uso previsto.
- Desarrollar garantías de seguridad razonables contra riesgos como la pérdida, el acceso no autorizado, la destrucción, el uso, la modificación o la divulgación de información personal.
- Dar a las personas la oportunidad de acceder a la información personal que les concierne y, en su caso, atender las solicitudes de corrección, modificación o supresión de información personal.
- Compartir información personal, como permitir el acceso, la transmisión o la publicación, con terceros sólo con una garantía razonable de que el destinatario dispone de controles adecuados de protección de la privacidad y la seguridad de la información personal.
Cumplir cualquier restricción y/o requisito aplicable a la transferencia internacional de información personal.
Supervisión:
La dirección y el Responsable de Información de Raise Global SA (PTY) LTD son responsables de administrar y supervisar la aplicación de esta política y, según proceda, las directrices de apoyo, los procedimientos operativos estándar, las notificaciones, los consentimientos y los documentos y procesos relacionados apropiados. La empresa y las personas clave, los representantes y el personal de Raise Global SA (PTY) LTD deben recibir formación de acuerdo con sus funciones sobre los requisitos normativos, las políticas y las directrices que rigen la protección de la información personal. Raise Global SA (PTY) LTD llevará a cabo revisiones y auditorías periódicas, cuando proceda, para demostrar el cumplimiento de la normativa, la política y las directrices en materia de privacidad.
Controles de funcionamiento:
Raise Global SA (PTY) LTD establecerá controles operativos estándar de privacidad adecuados que sean coherentes con esta política y con los requisitos normativos. Esto incluirá:
- Asignación de responsabilidades en materia de seguridad de la información.
- Notificación y gestión de incidentes.
- Adición o eliminación de ID de usuario.
- Formación y educación en seguridad de la información.
Copia de seguridad de los datos.
Implantación:
Esta política es aplicada por Raise Global SA (PTY) LTD y será respetada por la empresa y
todas las personas, representantes y personal clave encargados de recopilar y procesar la información personal de
. El incumplimiento de esta política puede dar lugar a medidas disciplinarias y a la posible
terminación del empleo o del mandato, en su caso.
Firmado el 1 de septiembre de 2023.
FOMENTO DEL ACCESO A LA INFORMACIÓN ACT
1. Introducción
Raise Global SA (Pty) Ltd una empresa registrada en Sudáfrica con número de registro 2018/616118/07 y con domicilio social Oxford Glenhove Building 2, 114 Oxford road, Rosebank, Gauteng, 2196, Sudáfrica, está autorizada y regulada por la Autoridad de Conducta del Sector Financiero de Sudáfrica (FSP 50506) .
La Política de Gobierno Corporativo establece el marco en el que se basan las estructuras y procesos de gobierno corporativo del PSF. La Política de Gobierno Corporativo establece las estructuras de toma de decisiones del PSF y cómo las estructuras de toma de decisiones se apoyan y evalúan mutuamente para alcanzar los objetivos del Rey IV de liderazgo ético y liderazgo efectivo. También pretende facilitar la gobernanza de la organización de forma justa, transparente, responsable y ética por parte del consejo, la dirección y todo el personal. El marco incorporará los principios del Trato Justo a los Clientes (TCF, por sus siglas en inglés) que rigen los requisitos de idoneidad recientemente promulgados.
2. Datos de contacto de la empresa
Director / Responsable de Información: Dany Mawas
| Dirección postal: | Oxford & Glenhove Building 2, 1ª planta, 114 Oxford Road, Rosebank, Johannesburgo, 2196 |
| Dirección postal: | Oxford & Glenhove Building 2, 1ª planta, 114 Oxford Road, Rosebank, Johannesburgo, 2196 |
| Número de teléfono: | +27 82 042 2064 |
| Número de fax: | Ninguno |
| Correo electrónico: | dany.mawas@raisefx.com |
3. La Ley
3.1 La Ley concede a un solicitante acceso a los registros de un organismo privado, si el registro es necesario para
el ejercicio o la protección de cualquier derecho. Si un organismo público presenta una solicitud, el organismo público
debe estar actuando en interés público.
3.2 Las solicitudes en los términos de la Ley se realizarán de acuerdo con los procedimientos prescritos, en
las tarifas previstas. Los formularios y la tarifa se facilitan en el presente documento conforme a lo estipulado por la Ley.
Se remite a los solicitantes a la Guía en términos de la Sección 10 que ha sido compilada por la Comisión Sudafricana de Derechos Humanos
, que contendrá información a efectos del ejercicio de
Derechos Constitucionales.
La guía puede obtenerse, previa solicitud y durante el horario laboral normal, en:
- el responsable de información de "Raise Global SA", incluida la oficina del regulador. Los detalles
de los oficiales de información se proporcionan a continuación: - Responsable de Información - Dany Mawas - dany.mawas@raisefx.com
- Subdirector de Información- Kevin Wides - kevin.wides@raisefx.com
la página web del organismo regulador(https://www.justice.gov.za/inforeg/)
3.3 Los datos de contacto de la Comisión son:
| Dirección postal: | Private Bag 2700, Houghton, 2041 |
| Número de teléfono: | +27-11-877 3600 |
| Número de fax: | +27-11-403 0625 |
| Página web: | www.sahrc.org.za |
4. Legislación de aplicación
| No | Ref | Actuar |
|---|---|---|
| 1 | No 61 de 1973 | Ley de sociedades |
| 2 | Nº 98 de 1978 | Ley de Propiedad Intelectual |
| 3 | Nº 55 de 1998 | Ley de Igualdad en el Empleo |
| 4 | Nº 95 de 1967 | Ley del impuesto sobre la renta |
| 5 | No 66 de 1995 | Ley de Relaciones Laborales |
| 6 | Nº 89 de 1991 | Ley del Impuesto sobre el Valor Añadido |
| 7 | Nº 37 de 2002 | Ley de servicios de asesoramiento e intermediación financiera |
| 8 | Nº 75 de 1997 | Ley de Condiciones Laborales Básicas |
| 9 | Nº 25 de 2002 | Ley de comunicaciones y transacciones electrónicas |
| 10 | Nº 2 de 2000 | Promoción de la Ley de Acceso a la Información |
| 11 | Nº 30 de 1996 | Ley del Seguro de Desempleo |
5. 5. Calendario de registros
| Registros | Asunto | Disponibilidad |
|---|---|---|
| Administración | - Información sobre la licencia | Disponible gratuitamente en la web www.raisefx.com/ |
| Recursos Humanos | - Contratos de trabajo - Registros y políticas de remuneración - Registros de audiencias disciplinarias - Sueldos y prestaciones del personal | A petición del responsable de información |
| Registro de clientes | - Datos del cliente | A petición del responsable de información |
| Asuntos públicos | - Información pública sobre productos - Registros públicos de empresas - Comunicados de prensa | Disponible gratuitamente en la web www.raisefx.com/ |
| Finanzas | - Estados financieros - Registros financieros y fiscales (empresa y empleados) - Registro de activos - Cuentas de gestión | Propietario - Solicitud en términos de PAIA. No disponible. |
| Marketing | - Información pública al cliente:
| Información limitada disponible en la web. www.raisefx.com/ |
6. Procedimiento para solicitar nuestros registros
- El solicitante debe utilizar el formulario prescrito para presentar la solicitud de acceso a un registro.
- Debe dirigirse a nuestro Responsable de Información.
- La solicitud debe dirigirse a nuestra dirección postal, número de fax o dirección de correo electrónico que figuran en el presente documento.
- El solicitante debe proporcionar en el formulario de solicitud detalles suficientes para que el funcionario de información pueda identificar el documento y al solicitante.
- El solicitante también debe indicar qué forma de acceso requiere y especificar su dirección postal o número de fax en la República.
- El solicitante debe identificar el derecho que se pretende ejercer o proteger y explicar por qué el registro solicitado es necesario para el ejercicio de ese derecho.
- Si la solicitud se presenta en nombre de otra persona, el solicitante deberá presentar una prueba de la calidad en la que presenta la solicitud a satisfacción del responsable de información.
- Para solicitar el acceso a un expediente, el solicitante debe utilizar el formulario C adjunto al manual. Deberá dirigirse al responsable de información.
- El formulario C figura en el anexo B.
7. Tasas a pagar por solicitar nuestros registros
El solicitante que desee acceder a un registro que contenga información personal sobre él no está obligado a pagar la tasa de solicitud. Todos los demás solicitantes, que no sean solicitantes personales, deberán abonar la tasa de solicitud exigida:
- El Oficial de Información debe notificar al solicitante (que no sea un solicitante personal) mediante notificación, exigiéndole el pago de la tasa prescrita (si la hubiera) antes de seguir tramitando la solicitud.
- El solicitante debe abonar una tasa que figura en el Anexo A. El solicitante puede presentar un recurso ante los tribunales contra la licitación o el pago de la tasa de solicitud.
- Una vez que el Jefe de nuestra Organización haya tomado una decisión sobre la solicitud, se notificará al solicitante en la forma requerida.
- Si se accede a la solicitud, deberá abonarse otra tasa de acceso por la búsqueda, reproducción y por el tiempo que haya excedido las horas prescritas para buscar y preparar el registro para su divulgación.
8. Disponibilidad y actualización de nuestro manual
Este Manual puede consultarse en nuestro sitio web, o está disponible para su inspección gratuita en nuestra dirección física arriba indicada. El Responsable de Información actualizará el manual periódicamente.
9. ANEXO A - Tasas de los organismos privados
| Artículo | Descripción | Importe |
|---|---|---|
|
1. |
La tasa de solicitud que debe pagar cada solicitante |
R140.00 |
|
2. |
Fotocopia/copia impresa en blanco y negro de una página de tamaño A4 |
R2,00 por página o fracción. |
|
3. |
Copia impresa de la página tamaño A4 |
R2,00 por página o fracción. |
|
4. |
Para obtener una copia en formato legible por ordenador en: |
|
|
(iii) Unidad flash (a cargo del solicitante) |
R40.00 |
|
|
(iv) Disco compacto |
|
|
|
Si lo facilita el solicitante |
R40.00 |
|
|
Si se facilita al solicitante |
R60.00 |
|
|
5. |
Para una transcripción de imágenes visuales por página tamaño A4 Servicio a externalizar. Dependerá del
presupuesto del proveedor del servicio. |
|
|
6. |
Copia de imágenes visuales - Servicio a subcontratar. Dependerá del presupuesto del proveedor de servicios. |
|
|
7. |
Transcripción de una grabación de audio, por página de tamaño A4 |
R24.00 |
|
8. |
Copia de una grabación de audio en: |
|
|
(v) Unidad flash (a cargo del solicitante) |
R40.00 |
|
|
(vi) Disco compacto |
|
|
|
Si lo facilita el solicitante |
R40.00 |
|
|
Si se facilita al solicitante |
R60.00 |
|
|
9. |
A buscar y preparar el expediente para su divulgación por cada hora o fracción de hora, excluida la primera hora, razonablemente necesaria para dicha búsqueda y preparación.
la primera hora, razonablemente necesaria para dicha búsqueda y preparación. |
R145.00 |
|
Para no superar un coste total de |
R435.00 |
|
|
10. |
Depósito: Si la búsqueda excede de 6 horas, una tasa igual a un tercio del importe por solicitud calculado en
los puntos 2 a 8. |
|
|
11. |
Franqueo, correo electrónico o cualquier otra transferencia electrónica |
Gasto real, en su caso". |
