Veri koruma ve gizlilik yasaları, vatandaşların kişisel bilgilerinin yasal güvenliğini sağlayabilir, kişisel verilerin yetkisiz kullanımını önleyebilir ve hassas bilgileri işleyen kuruluşlar için hesap verebilirlik sağlayabilir.
Bu nedenle 15 Ekim 2021’de Ruanda hükümeti bir kişisel veri ve gizliliğin korunması yasasını yürürlüğe koydu. Bu yasa, Ruanda’da yaşayan bireylerin kişisel verilerini işleyen, Ruanda içinde veya dışında bulunan bireyler ve yerleşik kurumlar için geçerlidir. Yasanın temel hedeflerinden biri bireylere kişisel bilgilerini kontrol etme yetkisi vermektir. Diğer bir amaç ise verilerin Ruanda içinde ve sınırları ötesinde güvenilir ve korumalı hareketini desteklemektir.
Kanunun temel hükümlerinden bazıları şunlardır:
- Madde 48, Ulusal Siber Güvenlik Otoritesi (NCSA) tarafından yetki verilmediği sürece verilerin üçüncü taraflara aktarılmasını yasaklamaktadır.
- Madde 50, yurt dışında veri depolamak için NCSA tarafından verilen sertifikalara sahip kayıtlı kuruluşlar haricinde tüm kişisel verilerin Ruanda’da saklanmasını gerektirmektedir.
- Madde 17, veri kontrolörleri ve işleyicilerine, kişisel veri işleme faaliyetlerinin kaydını tutma ve talep üzerine verileri NCSA’ya gönderme yetkisi vermektedir.
- Madde 38(3), kontrolörlerin ve işleyicilerin, işlemenin bireylerin hakları açısından yüksek risk oluşturduğu durumlarda veri koruma etki değerlendirmeleri (DPIA’lar) sağlamasını gerektirmektedir.
- Madde 43, bir veri işleyicisinin, bir veri ihlalinin tespit edilmesinden itibaren 48 saat içinde veri denetleyicisini bilgilendirmesini zorunlu kılmaktadır. Ayrıca veri denetleyicisinin bir ihlalden haberdar olduktan sonraki 48 saat içinde NCSA’ya bildirimde bulunmasını gerektirir. Veri sorumlusu, ihlalin kamuya açıklanmaması halinde veri ihlaline konu olan kişiyi bilgilendirmelidir.
- Madde 9, 16 yaşın altındaki bir çocuğun kişisel verilerinin işlenebilmesi için ebeveyn veya velinin iznini gerektirmektedir. Ayrıca rızanın yalnızca çocuğun çıkarına olması durumunda kabul edilebilir olduğu da belirtilmektedir. Ancak verilerin işlenmesi çocuğun refahı açısından önemliyse rızaya gerek yoktur.
- 8. madde, veri sahiplerine rızayı istedikleri zaman iptal etme hakkı vermektedir.
- 29-31. Maddeler, verileri işlemek isteyen herkesin NCSA’ya kaydolmasını ve bir veri koruma ve gizlilik (DPP) sertifikası almasını gerektirmektedir.
Uyumsuzluğun Sonuçları
Ruanda hükümeti, bireylere ve kuruluşlara veri işleme faaliyetlerini yasalara uygun hale getirebilmeleri için iki yıllık bir geçiş süresi verdi. Bu geçiş dönemi 15 Ekim 2023’te sona erecek.
Bir kişi veya kuruluşun son tarihe kadar bu yasaya kaydolmaması ve bu yasaya uymaması halinde, NCSA aşağıdaki yaptırımları uygulama yetkisine sahiptir:
- DPP sertifikası olmadan faaliyet gösteren kişi veya kuruluşlar: 2 milyon RWF (1.700 ABD Doları) ile 5 milyon RWF (4.250 ABD Doları) arasında para cezası veya kuruluşun bir önceki mali yıla ait toplam gelirinin yüzde birine eşit bir miktar.
- DPP sertifikası olmadan faaliyet gösteren bireyler, kuruluşlar, veri denetleyicileri veya veri işleyicileri, 2 milyon RWF (1.700 ABD Doları) ile 5 milyon RWF (4.250 ABD Doları) arasında veya kuruluşun önceki tarihten elde ettiği toplam gelirin yüzde birine eşit bir miktar para cezasına çarptırılabilir. mali yıl.
- Veri işleyicileri ve denetleyiciler, süresi dolmuş bir DPP sertifikasıyla çalışırlarsa da para cezasına çarptırılabilirler.
Ruandalılara ve Afrika’ya Etkisi
Bu yasa, Ruanda’yı veri politikası yasasına sahip 35. Afrika ülkesi ve bunu uygulayacak veri koruma yetkisine sahip 30. Afrika ülkesi yapıyor.
Yasanın Ruanda’da tüketici güveninin artmasına yardımcı olması bekleniyor. İnsanlar verilerinin sorumlu bir şekilde kullanıldığına güvendiklerinde çevrimiçi hizmetlerle etkileşime geçme ve bilgilerini paylaşma olasılıkları daha yüksektir. Bu, ülkedeki ekonomik büyümeyi ve yenilikçiliği teşvik eder.
Ayrıca, sıkı veri gizliliği yasaları uluslararası ticareti ve veri paylaşımını kolaylaştırabilir. Bunun nedeni, sağlam veri koruma yasalarına sahip ülkelerin, günümüzün küreselleşmiş ekonomisinin bir gereği olan sınır ötesi veri aktarımları için genellikle güvenli kabul edilmesidir.
Her şeyden önce, Ruanda’nın veri gizliliği ve koruma yasasını denetlemek ve uygulamak üzere bir veri koruma yetkilisi olan NCSA’yı atamasının, ülkedeki veri ihlallerinin sıklığını ve etkisini azaltmaya yardımcı olacağı öngörülüyor. Umarız bu yasa, Ruanda’yı diğer Afrika ülkelerine de benzer düzenlemeleri benimsemeleri ve kendi sınırları içinde veri korumasını geliştirmeleri konusunda olumlu bir örnek haline getirir.