Важное событие произошло в Кении - местное управление по защите данных наложило первые штрафы на компании, в результате действий которых утекли персональные данные клиентов. Тем самым создан решающий прецедент в области обеспечения прав на конфиденциальность персональных данных.

Офис комиссара по защите данных (ODPC) в Кении в конце сентября вынес три постановления о штрафах за утечки данных. Общая сумма штрафов составила почти 9,4 млн кенийских шиллингов (примерно 64 тыс. долларов США).

Финансовая компания Mulla Pride, управляющая мобильными приложениями для кредитования KeCredit и Faircash, стала первой кенийской организации, которая была оштрафована местным регулятором. Она заплатит 2,975 млн шиллингов (более 20 тыс. долларов) за неправомерное использование персональных данных, полученных от третьих лиц. Эта информация использовалась для отправки сообщений с угрозами и телефонных звонков отдельным людям. Наказание подчеркивает важность уведомления субъектов персональных данных при сборе и обработке их данных. Кроме того, закон обязывает операторов персональных данных взаимодействовать только с теми лицами, которые дали согласие на сбор и обработку информации о себе.

Casa Vera Lounge, популярный в кенийской столице Найроби ресторан, следом был оштрафован на 1,85 млн шиллингов (примерно 12,5 тыс. долларов). Заведение общепита наказано за то, что разместило на своих страницах в соцсетях фотографию клиента без его согласия. Этот штраф можно рассматривать в качестве прецедента для ресторанов, клубов и аналогичных заведений. Это подчеркивает важность получения согласия клиента на публикацию его изображения в Интернете.

Третий штраф получило образовательное учреждение Roma School из района Утиру. Школа должна выплатить 4,55 млн шиллингов (около 31 тыс. долларов) за публикацию фотографий несовершеннолетних без согласия родителей. Это наказание служит строгим напоминанием всем школам и другим учреждениям, обрабатывающим персональные детей, о том, что получение согласия родителей и опекунов перед обработкой таких данных не подлежит обсуждению.

Кенийский комиссар по защите данных Иммакелайт Кассайт (Immaculate Kassait) призвала всех операторов данных строго соблюдать закон. Она подчеркнула, что невыполнение требований закона о защите информации повлечет новые исполнительные производства со стороны регулятора.

В настоящее время ODPC также проводит проверки на соответствие требованиям закона у поставщика цифровых кредитов WhitePath и в сети супермаркетов Naivas в связи с обвинениями в утечке данных. WhitePath ранее была оштрафована на 5 млн шиллингов за рассылку назойливых сообщений. Ритейлеру Naivas также грозит штраф в размере 5 млн шиллингов за то, что он своевременно не оповестил ODPC об утечке информации. Закон предписывает сообщить регулятору о нарушении в течении 72 часов после инцидента. В апреле 2023 г. гигант розничной торговли подвергся атаке с использованием вируса-вымогателя. По словам Иммакелайт Кассайт, инцидент привел к утечке персональных данных общим объемом 611 ГБ. Ритейлер потерял данные из программы лояльности: имена, номера телефонов, адреса электронной почты, баллы лояльности и другую информацию. При этом сеть Naivas не сообщила об утечке информации в установленные законом 72 часа.

Согласно закону о защите данных Кении, максимальная сумма штрафа, которую ODPC может наложить на одну организацию в результате нарушения, составляет 5 млн шиллингов (примерно 34 тыс. долларов США) или до 1% годового оборота — в зависимости от того, что меньше.