Startups, die personenbezogene Daten in Kenia verarbeiten, gehören zu den Organisationen, die sich beim Office of the Data Commissioner (ODPC) registrieren müssen, da das ostafrikanische Land ein Gesetz zum Schutz des Rechts auf Privatsphäre von Personen innerhalb seiner Grenzen umsetzt.
Die Registrierung, die nach Inkrafttreten der Datenschutzbestimmungen begonnen hat, ist für jedes Unternehmen, das als Datenverantwortlicher auftritt – definiert als eine natürliche oder juristische Person, die den Zweck und die Mittel der Verarbeitung personenbezogener Daten festlegt – oder ein Auftragsverarbeiter obligatorisch , das ein Unternehmen ist, das nicht unbedingt Daten sammelt oder bestimmt, wie Daten verwendet werden, sondern diese im Auftrag eines anderen Unternehmens verarbeitet.
Der Datenverantwortliche oder -verarbeiter ist verpflichtet, die Art der von ihm verarbeiteten personenbezogenen Daten, ihre Zielpersonen und die Gründe für die Erhebung und Speicherung dieser Daten offenzulegen.
Obwohl das ODPC einige Ausnahmen basierend auf Umsatz und Anzahl der Mitarbeiter macht, ist die Registrierung für Unternehmen obligatorisch, die Finanzdienstleistungen anbieten, die genetische Daten verarbeiten, im Telekommunikationssektor, in der Immobilienverwaltung, in der Patientenversorgung, im Bildungswesen, im Transportwesen, im Gastgewerbe, im Glücksspiel, Kriminalprävention und Direktmarketing. Big Techs und Startups (wie Fintech, Proptech, Agtech, Edtech und Healthtech) sind einige der Unternehmen, die von den neuen Vorschriften betroffen sind.
„Die Registrierung ist ein wichtiges Element zur Einhaltung der Datenschutzgesetze, da Organisationen in Kenia nicht als Datenverantwortliche oder -verarbeiter fungieren können, wenn sie sich nicht beim ODPC registriert haben“, sagte Kenias Datenbeauftragter Immaculate Kassait in einer Erklärung.
Die neuen Vorschriften, die von Datenverantwortlichen und -verarbeitern einzuhaltende Leitlinien enthalten, sollen den Benutzern mehr Befugnisse bei der Bestimmung der Art der erfassten Daten und ihrer Verwendung geben.
Das Gesetz zielt auch darauf ab, die Verabschiedung des kenianischen Datenschutzgesetzes zu fördern, das sicherstellt, dass Unternehmen Kundendaten rechtmäßig verwenden, die gesammelten Details minimieren, die Weitergabe und Weiterverarbeitung von Daten einschränken und sicherstellen, dass die Daten der Menschen sicher aufbewahrt werden.
Die Vorschriften, die der EU-DSGVO ähneln, verlangen von Unternehmen auch, dass sie vor der Datenerfassung die Zustimmung der Benutzer einholen und ihre Absicht zur Erfassung angeben.
Es wird auch umrissen, dass diese Unternehmen eine Zustimmung einholen müssen, bevor sie die Daten für kommerzielle Zwecke verwenden. Diese Unternehmen sind auch verpflichtet, die gesammelten personenbezogenen Daten über einen Datenserver in Kenia zu verarbeiten oder eine Dienstkopie innerhalb der Grenzen aufzubewahren. Ein Unternehmen, das Daten ins Ausland überträgt, kann dies nur auf einer Reihe von Konten tun, die auch die Zustimmung der betroffenen Person beinhalten.
Im Falle einer Datenschutzverletzung müssen Verantwortliche und Auftragsverarbeiter das ODPC innerhalb von 72 Stunden benachrichtigen. Die Verordnung ermutigt Unternehmen ferner, einen Datenschutzbeauftragten einzusetzen, um die Einhaltung der Vorschriften sicherzustellen, und empfiehlt Geld- und Gefängnisstrafen für Zuwiderhandlungen.