Report on recent developments in Africa data protection laws STAGE 7 EW - Single page - Flipbook - Page 8
8
Hogan Lovells
New Laws map
Carte des nouvelles lois
Eswatini
Eswatini
On 4 March 2022, Eswatini’s first piece of legislation
on data protection was published in the Government
Gazette. The Data Protection Act, 2022 (“Eswatini
DP Act”) applies to controllers and processors
whether or not domiciled or having their principal
place of business in Eswatini, who use automated or
non-automated means in Eswatini for forwarding
personal data.
Le 4 mars 2022, le premier texte législatif du Royaume
d’Eswatini sur la protection des données a été publié
au Journal officiel (« Loi d’Eswatini »). La Loi
d’Eswatini s’applique aux responsables du traitement
et aux sous-traitants, qu’ils soient ou non domiciliés
ou qu’ils aient ou non leur établissement principal
en Eswatini, et qu’ils utilisent ou non des moyens
automatisés en Eswatini pour transmettre des données
à caractère personnel.
The Eswatini DP Act sets out the general principles
covered by GDPR and the data protection laws of most
African countries, including, amongst others, purpose
limitation, data minimisation, accuracy, storage
limitation, integrity and confidentiality. It also lists the
legal bases for processing personal data, as follows:
(i) explicit consent, which is defined as “any voluntary,
specific and informed consent communicated
expressly by spoken or written words in terms of
which a data subject agrees to the processing of
personal information relating to a data subject”,
(ii) necessity for the conclusion or performance of a
contract to which the data subject is a party,
(iii) necessity for compliance with a legal obligation to
which the data controller is subject, (iv) necessity to
protect the legitimate interests of the data subject,
(v) necessity for the proper performance of public law
duty by a public body, (vi) necessity for the pursuit
of the legitimate interests of the data controller or of
a third party to whom the information is supplied.
Eswatini follows the East African trend of recognising
the controller’s legitimate interest as a legal basis for
processing personal data.
Under the Eswatini DP Act, sensitive data includes
children’s data and biometric data, amongst others,
and it may be processed in limited circumstances.
La Loi d’Eswatini énonce des principes généraux
que l’on retrouve dans le RGPD et dans les lois sur
la protection des données de la plupart des pays
africains, y compris notamment, la limitation des
finalités, la minimisation des données, l’exactitude,
la limitation de la conservation, l’intégrité et la
confidentialité des données. Elle énumère également
les bases légales du traitement des données
personnelles comme suit : (i) le consentement
explicite, dont la définition est « tout consentement
volontaire, spécifique et éclairé, communiqué
expressément par oral ou par écrit, aux termes
duquel une personne concernée accepte le traitement
d’informations personnelles la concernant »,
(ii) la nécessité pour la conclusion ou l’exécution
d’un contrat auquel la personne concernée est partie,
(iii) le respect d’une obligation légale à laquelle le
responsable du traitement est soumis, (iv) la nécessité
de protéger les intérêts légitimes de la personne
concernée, (v) la nécessité d’exécuter une obligation
de droit public par un organisme public, (vi) la
poursuite des intérêts légitimes du responsable du
traitement ou d’un tiers à qui les informations sont
fournies. Eswatini suit la tendance est-africaine qui
est de reconnaître l’intérêt légitime du responsable
du traitement comme base légale de traitement des
données personnelles.
En vertu de la Loi d’Eswatini, les données sensibles
comprennent, entre autres, les données relatives aux
enfants ainsi que les données biométriques et elles
peuvent être traitées dans des circonstances limitées.