Effective date: 10 April 2026Ingangsdatum: 10 April 2026
Kalah NPC is a non-profit company registered in South Africa, based in Cape Town. We provide a church management platform (website hosting, member management, communication tools, event management, and document storage) to Reformed churches in South Africa.
In terms of the Protection of Personal Information Act 4 of 2013 ("POPIA"), each church using Kalah is the responsible party (data controller) for its members' personal information. Kalah NPC acts as an operator (data processor) on behalf of the church.
This privacy policy explains how Kalah NPC handles personal information when you visit our website, use our platform, or when your church processes your data through our platform.
Kalah NPC is 'n nie-winsgewende maatskappy geregistreer in Suid-Afrika, gebaseer in Kaapstad. Ons verskaf 'n gemeentebestuursplatform (webwerf-aanbieding, lidmaatbestuur, kommunikasie-instrumente, geleentheidsbestuur en dokumentberging) aan Gereformeerde kerke in Suid-Afrika.
Ingevolge die Wet op die Beskerming van Persoonlike Inligting 4 van 2013 ("POPIA"), is elke kerk wat Kalah gebruik die verantwoordelike party (databeheerder) vir sy lidmate se persoonlike inligting. Kalah NPC tree op as 'n operateur (dataverwerker) namens die kerk.
Hierdie privaatheidsbeleid verduidelik hoe Kalah NPC persoonlike inligting hanteer wanneer jy ons webwerf besoek, ons platform gebruik, of wanneer jou kerk jou data deur ons platform verwerk.
We collect different types of information depending on how you interact with Kalah:
| Category | Examples |
|---|---|
| Identity | Full name, title |
| Contact details | Email address, phone number, physical address |
| Church membership | Group memberships, roles within the congregation |
| Religious affiliation | Membership of a specific church (this is special personal information — see Section 5 below) |
When a church signs up for Kalah, we collect the administrator's name, email address, and the church's details (name, address, denomination).
When you visit any Kalah-hosted website, we collect basic server logs (IP address, browser type, pages visited) for security and performance purposes. We do not use tracking pixels or analytics tools.
Ons versamel verskillende tipes inligting afhangende van hoe jy met Kalah omgaan:
| Kategorie | Voorbeelde |
|---|---|
| Identiteit | Volle naam, titel |
| Kontakbesonderhede | E-posadres, telefoonnommer, fisiese adres |
| Kerklidmaatskap | Groeplidmaatskappe, rolle binne die gemeente |
| Godsdienstige affiliasie | Lidmaatskap van 'n spesifieke kerk (dit is spesiale persoonlike inligting — sien Afdeling 5 hieronder) |
Wanneer 'n kerk vir Kalah registreer, versamel ons die administrateur se naam, e-posadres, en die kerk se besonderhede (naam, adres, denominasie).
Wanneer jy enige Kalah-aangebode webwerf besoek, versamel ons basiese bedienerloglêers (IP-adres, blaaiertipe, bladsye besoek) vir sekuriteits- en werkverrigtingdoeleindes. Ons gebruik nie opsporingspixels of analitiese instrumente nie.
We process personal information for the following purposes:
We do not use personal information for advertising. We do not sell personal information. We never will.
Ons verwerk persoonlike inligting vir die volgende doeleindes:
Ons gebruik nie persoonlike inligting vir advertensies nie. Ons verkoop nie persoonlike inligting nie. Ons sal dit nooit doen nie.
Under POPIA, personal information may only be processed if there is a lawful basis. The bases we rely on are:
Each church is responsible for ensuring it has a lawful basis to process its members' personal information. For most churches, this is based on the legitimate activities of the church as a non-profit body (Section 11(1)(f) read with Section 28).
Ingevolge POPIA mag persoonlike inligting slegs verwerk word indien daar 'n regmatige grondslag bestaan. Die grondslagte waarop ons staatmaak, is:
Elke kerk is verantwoordelik om te verseker dat dit 'n regmatige grondslag het om sy lidmate se persoonlike inligting te verwerk. Vir die meeste kerke is dit gebaseer op die regmatige aktiwiteite van die kerk as 'n nie-winsgewende liggaam (Artikel 11(1)(f) saamgelees met Artikel 28).
Religious affiliation is classified as special personal information under POPIA Section 26. The fact that someone is a member of a particular church reveals their religious beliefs.
POPIA Section 28 provides an exemption: a religious institution may process special personal information about its members or people who have regular contact with it, provided the information is not shared outside the institution without the data subject's consent.
Each church using Kalah processes religious affiliation data under this Section 28 exemption. Kalah, as operator, processes this data solely on the church's behalf and does not share it with any third party for their own purposes.
Godsdienstige affiliasie word geklassifiseer as spesiale persoonlike inligting ingevolge POPIA Artikel 26. Die feit dat iemand 'n lidmaat van 'n spesifieke kerk is, openbaar hul godsdienstige oortuigings.
POPIA Artikel 28 bied 'n vrystelling: 'n godsdienstige instelling mag spesiale persoonlike inligting oor sy lidmate of mense wat gereelde kontak met dit het, verwerk, mits die inligting nie sonder die datasubjek se toestemming buite die instelling gedeel word nie.
Elke kerk wat Kalah gebruik, verwerk godsdienstige affiliasiedata ingevolge hierdie Artikel 28-vrystelling. Kalah, as operateur, verwerk hierdie data uitsluitlik namens die kerk en deel dit nie met enige derde party vir hul eie doeleindes nie.
We do not sell, rent, or trade personal information. We share data only with the following service providers (sub-processors) who help us deliver the platform:
| Provider | Purpose | Location |
|---|---|---|
| Railway | Platform hosting and database infrastructure | United States |
| Resend | Transactional email delivery (magic links, notifications, church communications) | United States |
These providers process data solely to deliver their services to us and are bound by their own data processing agreements. We select providers that maintain appropriate security standards.
We may also disclose personal information if required by law, court order, or a lawful request from a South African authority.
Ons verkoop, verhuur of verhandel nie persoonlike inligting nie. Ons deel data slegs met die volgende diensverskaffers (sub-verwerkers) wat ons help om die platform te lewer:
| Verskaffer | Doel | Ligging |
|---|---|---|
| Railway | Platformaanbieding en databasis-infrastruktuur | Verenigde State |
| Resend | Transaksionele e-posaflewering (magic links, kennisgewings, kerkkommunikasie) | Verenigde State |
Hierdie verskaffers verwerk data uitsluitlik om hul dienste aan ons te lewer en word deur hul eie dataverwerkingsooreenkomste gebind. Ons kies verskaffers wat toepaslike sekuriteitstandaarde handhaaf.
Ons mag ook persoonlike inligting openbaar maak indien dit deur die wet, 'n hofbevel, of 'n wettige versoek van 'n Suid-Afrikaanse owerheid vereis word.
We want to be transparent: our hosting infrastructure (Railway) and email service (Resend) are based in the United States. This means personal information is transferred to and processed in the US.
POPIA Section 72 permits cross-border transfers where the recipient is subject to laws or binding agreements that provide an adequate level of protection. We rely on the following safeguards:
We are actively evaluating hosting options that would allow us to keep data within South Africa or the broader African continent. If we move to local hosting in the future, we will update this policy.
Ons wil deursigtig wees: ons aanbiedings-infrastruktuur (Railway) en e-posdiens (Resend) is in die Verenigde State gebaseer. Dit beteken persoonlike inligting word na die VSA oorgedra en daar verwerk.
POPIA Artikel 72 laat oorgrensoordragte toe waar die ontvanger onderhewig is aan wette of bindende ooreenkomste wat 'n voldoende vlak van beskerming bied. Ons steun op die volgende waarborge:
Ons evalueer aktief aanbiedings-opsies wat ons in staat sal stel om data binne Suid-Afrika of die breër Afrika-kontinent te hou. As ons in die toekoms na plaaslike aanbieding oorskakel, sal ons hierdie beleid opdateer.
We retain personal information only for as long as necessary:
Churches can delete individual member records at any time through the platform's admin interface.
Ons bewaar persoonlike inligting slegs so lank as wat nodig is:
Kerke kan individuele lidmaatrekords te eniger tyd deur die platform se administrasie-koppelvlak verwyder.
We take reasonable measures to protect personal information against loss, unauthorised access, and misuse. Our security measures include:
No system is perfectly secure. If we become aware of a security breach that affects personal information, we will notify the affected church and, where required by law, the Information Regulator, within 72 hours of becoming aware of the breach.
Ons tref redelike maatreels om persoonlike inligting teen verlies, ongemagtigde toegang en misbruik te beskerm. Ons sekuriteitsmaatreels sluit in:
Geen stelsel is perfek veilig nie. As ons bewus word van 'n sekuriteitskending wat persoonlike inligting raak, sal ons die geaffekteerde kerk en, waar deur die wet vereis, die Inligtingsreguleerder binne 72 uur nadat ons bewus geword het van die kending, in kennis stel.
We use only essential session cookies that are necessary for the platform to function. These cookies:
We do not use advertising cookies, analytics cookies, or any third-party tracking cookies.
Ons gebruik slegs noodsaaklike sessiekoekies wat nodig is vir die platform om te funksioneer. Hierdie koekies:
Ons gebruik nie advertensiekoekies, analitiese koekies, of enige derdeparty-opsporingskoekies nie.
Under POPIA, you have the following rights regarding your personal information:
How to exercise your rights: If your data is held by a church using Kalah, please contact your church directly first — they are the responsible party. Your church can update or delete your information through the platform, or contact us for assistance.
You can also contact us directly at privacy@kalah.app. We will respond to your request within 30 days.
Ingevolge POPIA het jy die volgende regte rakende jou persoonlike inligting:
Hoe om jou regte uit te oefen: As jou data deur 'n kerk gehou word wat Kalah gebruik, kontak asseblief eers jou kerk direk — hulle is die verantwoordelike party. Jou kerk kan jou inligting deur die platform opdateer of verwyder, of ons kontak vir bystand.
Jy kan ons ook direk kontak by privacy@kalah.app. Ons sal binne 30 dae op jou versoek reageer.
If you are not satisfied with how we or your church has handled your personal information, you have the right to lodge a complaint with the Information Regulator of South Africa:
As jy nie tevrede is met hoe ons of jou kerk jou persoonlike inligting hanteer het nie, het jy die reg om 'n klagte by die Inligtingsreguleerder van Suid-Afrika in te dien:
We may update this privacy policy from time to time to reflect changes in our practices or legal requirements. When we make material changes, we will:
We encourage you to review this policy periodically.
Ons mag hierdie privaatheidsbeleid van tyd tot tyd opdateer om veranderinge in ons praktyke of wetlike vereistes te weerspieël. Wanneer ons wesenlike veranderinge aanbring, sal ons:
Ons moedig jou aan om hierdie beleid gereeld te hersien.
If you have questions about this privacy policy or how we handle personal information, please contact us:
We are in the process of registering an Information Officer with the Information Regulator. Once registered, we will update this policy with the Information Officer's details.
As jy vrae het oor hierdie privaatheidsbeleid of hoe ons persoonlike inligting hanteer, kontak ons asseblief:
Ons is besig om 'n Inligtingsbeampte by die Inligtingsreguleerder te registreer. Sodra dit geregistreer is, sal ons hierdie beleid met die Inligtingsbeampte se besonderhede opdateer.