在 2021 年 6 月的通讯中,我们回顾了根据《数据保护法》制定的法规草案。这些法规草案是《2021 年数据保护(一般)法规》、《2021 年数据保护(合规与执行)法规》和《2021 年数据保护法规(数据控制者和数据处理者的注册)法规》。这些条例已经公布,供公众参与。这些条例现已在宪 报上公布。我们在下文中重点介绍所作的修改。
2021 年数据保护(数据控制者和数据处理者注册)条例》(《注册条例)
在公众参与之后,对《登记条例》做出了以下重大修改:
- 注册证书的有效期从签发之日起一年延长至两年。这将续期费用降低到每两年一次。
- 注册证书续期申请将在证书到期后进行,而不是在证书到期前三十天进行。申请注册证书续期也没有时间限制。不过,未办理注册证书续期属于违法行为。
- 年营业额低于 500 万肯尼亚先令或年收入低于 500 万肯尼亚先令且员工人数少于 10 人的数据控制者和数据处理者仍免于根据《条例》进行强制登记。不过,《登记条例》对 "收入 "和 "营业额 "作了明确和具体的定义。营业额指非政府组织、慈善组织、宗教机构和民间社会组织上一年的年度预算。收入是指牟利的数据控制者或数据处理者在紧接登记年之前一年的总收入。
- 注册条例》还规定,免于强制注册的数据控制者和数据处理者必须遵守数据保护的原则和义务,以及根据该法案向境外转移个人数据的规则。
- 注册条例》还取消了对以下几类实体的强制注册要求:经营性征信所;债务管理和保理;保险管理和承保;信仰和宗教机构;退休福利管理;以及公共部门机构。
2021 年《数据保护("投诉处理程序和执行")条例》("投诉条例")。
在此之前,这些条例作为《2021 年数据保护(合规与执行)条例》发布。投诉条例》除以下改动外,基本沿用了草案的内容:
- 根据《投诉条例》,数据保护专员("专员")只能拒绝受理没有根据《法案》提出任何问题的投诉。在条例草案中,专员可拒绝受理任何琐碎、丑闻或无理取闹、非善意提出或在任何其他情况下值得拒绝受理的投诉。
- 在《条例》草案中,专员就投诉做出的决定是最终决定。投诉条例》现在允许专员复审其决定。为此,允许当事方申请重新受理之前被拒绝的投诉、重新提出被终止的投诉或重新提交被撤回的投诉。这样,在投诉人感到受屈的情况下,就可以在对投诉提出正式上诉之前或取代正式上诉,对投诉进行第二次审查。
- 投诉条例》现在允许专员自行选择或应当事方的要求加入投诉方。这就使与某一事项有利害关系的各方能够在做出对其有影响的决定之前表达自己的立场。
2021 年数据保护(一般)条例》(《一般条例)
一般条例》的总体结构保留了草案的形式。大部分改动是为了加强数据主体的权利和数据控制者的责任。以下是对《一般条例》的一些补充意见。
除了数据控制者的责任外,《一般条例》现在还要求间接收集个人数据的数据控制者或数据处理者在 14 天内将收集情况告知数据当事人。
数据控制者和数据处理者还必须执行公平原则的要素。这些要素包括:在控制个人数据方面,给予数据主体最高程度的自主权;使数据主体能够沟通和行使其权利;以及纳入人工干预,以尽量减少自动决策过程造成的偏差。
关于向肯尼亚境外转移数据的规定得到了加强,对向参与执法的国际组织转移数据做出了规定。向此类组织转移数据要求建立保障机制,其中包含保护个人数据的适当保障措施。这些机制应对个人资料的预定接收者具有约束力,并应基本上等同于该法案规定的保护措施。或者,数据控制者必须评估与向境外转移该类个人数据有关的所有情况,并确定存在适当的保障措施。
点击下载
免责声明:
本简报重点介绍立法和政策变化,仅供一般使用。它无意在发送者和接收者之间建立律师-客户关系。它不构成法律建议或法律意见。在未事先征求律师意见的情况下,您不应根据本法律更新中所包含的任何信息行事或依赖这些信息。
