Kenya’da kişisel verileri işleyen girişimler, Doğu Afrika ülkesi sınırları içinde kişilerin mahremiyet hakkını koruyan bir yasa uyguladığı için, Veri Komiserliği Ofisi’ne (ODPC) kaydolması gereken kuruluşlar arasında yer alıyor.
Veri koruma mevzuatının yürürlüğe girmesinden sonra başlayan kayıt, kişisel verilerin işlenme amacını ve araçlarını belirleyen kişi veya kuruluş olarak tanımlanan veri denetleyicisi olarak hareket eden herhangi bir şirket veya bir işleyici için zorunludur. , verilerin nasıl kullanıldığını kesin olarak toplamayan veya belirlemeyen, ancak başka bir firma adına işleyen bir şirkettir.
Veri sorumlusu veya işleyenin, işlediği kişisel verilerin türünü, hedef konularını ve bu verilerin toplanma ve saklanma nedenlerini açıklaması gerekir.
ODPC’nin gelir ve çalışan sayısına göre bazı istisnalar yapmasına rağmen, telekomünikasyon sektörü, mülk yönetimi, hasta bakımı, eğitim, ulaşım, konaklama, kumar, finansal hizmetler sunan, genetik verileri işleyen kuruluşlar için kayıt zorunludur. suç önleme ve doğrudan pazarlama. Büyük teknolojiler ve girişimler (fintech, proptech, agtech, edtech ve healthtech uzayındakiler gibi) yeni düzenlemelerden etkilenen kuruluşlardan bazıları.
Kenya’nın veri komiseri Immaculate Kassait yaptığı açıklamada, “Kayıt, ODPC’ye kaydolmadıkça Kenya’da veri denetleyicisi veya işlemcisi olarak hareket edemeyecekleri için, veri koruma mevzuatına uyumun önemli bir unsurudur” dedi.
Veri sorumluları ve işleyenler tarafından uyulması gereken rehberlik sağlayan yeni düzenlemeler, kullanıcılara toplanan verilerin türünü ve nasıl kullanıldığını belirleme konusunda daha fazla güç vermek üzere tasarlanmıştır.
Yasa ayrıca, şirketlerin müşteri verilerini yasal olarak kullanmasını sağlayan, toplanan ayrıntıları en aza indiren, verilerin paylaşılmasını ve daha fazla işlenmesini kısıtlayan ve kişilerin verilerinin güvende tutulmasını sağlayan Kenya Veri Koruma Yasası’nın yürürlüğe girmesini teşvik etmeyi amaçlıyor.
AB’nin GDPR’sine benzeyen düzenlemeler, şirketlerin veri toplamadan önce kullanıcıların onayını almalarını ve toplama niyetlerini belirtmelerini de şart koşuyor.
Ayrıca, bu kuruluşların verileri ticari amaçlarla kullanmadan önce onay alması gerektiğini de özetlemektedir. Bu kuruluşların ayrıca toplanan kişisel verileri Kenya’da bulunan bir veri sunucusu aracılığıyla işlemesi veya sınırlar içinde hizmet veren bir kopyasını tutması gerekmektedir. Ülke dışına veri aktaran bir şirket, bunu ancak veri sahibinin rızasını da içeren bir dizi hesapta yapabilir.
Bir veri ihlali durumunda, kontrolörlerin ve işleyicilerin 72 saat içinde ODPC’yi bilgilendirmesi gerekir. Yönetmelik ayrıca kuruluşları, uyumu sağlamak için bir veri koruma görevlisine sahip olmaya teşvik ediyor ve ihlal için para cezaları ve hapis cezaları öneriyor.