ケニアで個人データを処理する新興企業は、データ コミッショナー局 (ODPC) に登録する必要があるエンティティの 1 つです。これは、東アフリカの国が国境内の個人のプライバシーの権利を保護する法律を実施しているためです。
データ保護規則の発効後に開始された登録は、データ管理者 (個人データの処理の目的と手段を決定する個人または団体として定義される) または処理者として活動するすべての企業にとって必須です。は、データの使用方法を必ずしも収集または決定するわけではありませんが、別の会社に代わってデータを処理する会社です。
データ管理者または処理者は、処理する個人データの種類、対象となる対象、およびそのようなデータを収集および保存する理由を明らかにする必要があります。
ODPC は収益と従業員数に基づいて一部の免除を行っていますが、金融サービスを提供する事業体、電気通信部門で遺伝子データを処理する事業体、財産管理、患者ケア、教育、輸送、ホスピタリティ、ギャンブル、防犯、ダイレクトマーケティング。 この新しい要件の影響を受けるエンティティには、大手テクノロジー企業や新興企業 (フィンテック、プロップテック、エドテック、ヘルステック スペース) が含まれます。
ケニアのデータコミッショナーである Immaculate Kassait 氏は声明の中で、「組織は ODPC に登録しない限り、ケニアではデータ管理者または処理者として行動できないため、登録はデータ保護法を遵守するための重要な要素です」と述べています。
新しい規制は、データ管理者と処理者が順守すべきガイダンスを提供するもので、収集されるデータの種類とその使用方法を決定する権限をユーザーに与えるように設計されています。
この法律はまた、企業が顧客データを合法的に使用し、収集された詳細を最小限に抑え、データの共有とさらなる処理を制限し、人々のデータが安全に保たれるようにするケニアのデータ保護法の制定を促進しようとしています。
この規制は EU の GDPR に似ており、企業はデータを収集する前にユーザーの同意を求め、収集の意図を明確にする必要があります。
また、これらのエンティティは、商業目的でデータを使用する前に同意を求める必要があることも概説しています. これらのエンティティは、収集された個人データをケニアにあるデータ サーバーを介して処理するか、国境内にサービング コピーを保持する必要もあります。 国外にデータを転送する会社は、データ主体の同意も含む多数のアカウントでのみ転送できます。
データ侵害が発生した場合、管理者と処理者は 72 時間以内に ODPC に通知する必要があります。 この規則は、企業がコンプライアンスを確保するためにデータ保護担当者を配置することをさらに奨励し、違反に対する罰金と懲役刑を推奨しています。