在肯尼亚处理个人数据的初创公司是需要在数据专员办公室 (ODPC) 注册的实体之一,因为这个东非国家实施了一项保护其境内个人隐私权的法律。
注册在数据保护条例生效后开始,对于任何充当数据控制者的公司(定义为确定个人数据处理目的和方式的个人或实体,或处理者)都是强制性的.处理者不一定会收集或确定如何使用数据,而是代表另一家公司处理数据。
数据控制者或处理者需要披露他们处理的个人数据类型、目标主体以及收集和存储此类数据的原因。
尽管 ODPC 根据收入和员工人数做出了一些豁免,但对于提供金融服务的实体、处理基因数据的实体、电信行业、物业管理、患者护理、教育、交通、酒店、赌博、预防犯罪和直接营销。
大型科技公司和初创公司(如金融科技、proptech、agtech、edtech 和 healthtech 领域的公司)是受新法规影响的一些实体。
肯尼亚数据专员 Immaculate Kassait 在一份声明中说:“注册是遵守数据保护立法的一个重要因素,因为组织不能在肯尼亚充当数据控制者或处理者,除非他们已在 ODPC 注册。”
新法规为数据控制者和处理者提供了指导,旨在让用户在确定收集的数据类型和使用方式方面拥有更大的权力。
该法律还旨在促进颁布肯尼亚《数据保护法》,以确保公司合法使用客户数据,最大限度地减少收集的详细信息,限制数据的共享和进一步处理,并确保人们数据的安全。
该法规类似于欧盟的 GDPR,还要求公司在收集数据之前征求用户的同意,并明确他们的收集意图。
它还概述了这些实体在将数据用于商业目的之前必须征得同意。这些实体还需要通过位于肯尼亚的数据服务器处理收集的个人数据,或在境内保留一份服务副本。将数据转移到国外的公司只能在包括数据主体同意的多个帐户上这样做。
如果发生数据泄露,控制者和处理者必须在 72 小时内通知 ODPC。该法规进一步鼓励实体设立数据保护官以确保合规,并建议对违规行为处以罚款和监禁。