<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif">@Mike, at a forum at Strathmore University, when the issue of classifying data processors/controllers , one of the proposed solutions was that classification could be a matter to be dealt with in regulations.  You make a practical proposal that we shall capture in the report of these discussions. <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">@Martha , thank you for drawing us back to the basic objective of the proposed law- to ensure that anyone who holds data protects it. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Listers, some of the points from your contributions from today include: <br></div><div class="gmail_default" style="font-family:verdana,sans-serif">a) that the proposed law should have mechanisms for graduated penalties<br></div><div class="gmail_default" style="font-family:verdana,sans-serif">b) that remedies should also be incorporated into the law and although listers are divided on the GDPR model ,proposals have been given for graduated remedies depending on the size of the processor/controller<br></div><div class="gmail_default" style="font-family:verdana,sans-serif">c) it has been noted that there are important aspects of data protection whose non performance has no offences/ remedies attached. An example is when data processor/controller fails to notify data subjects of a breach of their data. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Tomorrow, we discuss the exciting topic of institutional framework as provided for in part II of the bill. This thread remains open for more comments. <br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Thank you for your participation today and goodnight. <br></div></div><br><div class="gmail_quote"><div dir="ltr">Il giorno mar 28 ago 2018 alle ore 20:16 Martha Muriuki via kictanet <<a href="mailto:kictanet@lists.kictanet.or.ke">kictanet@lists.kictanet.or.ke</a>> ha scritto:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Good evening listers,<div><br></div><div>I think the model should be based on the fundamentals; that anyone holding personal data should know that it will hurt significantly if the data goes to unintended parties or is used for unintended purpose. Whether the data processor is ' small' or ' large'  fact is the data held is personal and should be handled as per the agreed terms when this information was provided.</div><div>My preference though should be applied based on revenue but there should be a minimum amount or jail term for penalties. I think this would keep data processors in check.</div><div><br></div><div><br></div><div>Regards,</div><div><br></div><div>Martha Muriuki</div><div>Skype: marthamuriuki</div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Aug 28, 2018 at 12:18 PM Mercy Njue via kictanet <<a href="mailto:kictanet@lists.kictanet.or.ke" target="_blank">kictanet@lists.kictanet.or.ke</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-family:georgia,serif;font-size:small;color:#000000">The penalties are too static for the market. They might be crippling to an SME but pocket change to a big firm. This will also translate to more small firms complying since the amounts are too steep and the big firms complying as they seem fit. Instead, I think it should lean towards the GDPR penalties where the penalties are pegged on Gross revenue.</div><div class="gmail_default" style="font-family:georgia,serif;font-size:small;color:#000000"><br></div><div class="gmail_default"><font color="#000000" face="georgia, serif">Regarding "</font><span style="color:rgb(34,34,34);font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;font-size:small">Knowingly supplying false information to the data commissioner during registration as a data controller or processor</span><font face="Roboto, RobotoDraft, Helvetica, Arial, sans-serif"> " </font><font face="georgia, serif">Its a double sword. There are some who do this to protect their identity since the purpose of the data collected is unclear. Or because we don't know if they will sell the details to the highest bidders in the dark web. </font></div><div class="gmail_default" style="font-family:georgia,serif;font-size:small;color:#000000"><br></div><div class="gmail_default" style="font-family:georgia,serif;font-size:small;color:#000000"><br></div><div class="gmail_default" style="font-family:georgia,serif;font-size:small;color:#000000"><br></div><div><div dir="ltr" class="m_-4201069979881097501m_-1237273132558739532gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr" style="font-size:small"><span style="letter-spacing:normal">-- </span><br style="letter-spacing:normal"><div style="letter-spacing:normal"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><font color="#000000" size="2" face="georgia, serif">Mercy Njue</font></div><div><font color="#000000" size="2" face="georgia, serif">Founder Botlab</font></div><div><font color="#000000" size="2" face="georgia, serif"><br></font></div><div><font color="#000000" size="2" face="georgia, serif">Botlab Physical Address: Ngong hills Hotel along Ngong road, 5th Floor</font></div><div><font size="2" face="georgia, serif"><font color="#000000">Office line: </font><font color="#000000">+254 700 915197</font></font></div><div><font color="#000000" size="2" face="georgia, serif">Mobile: +254 729758 701</font></div><div><font size="2" color="#000000" face="georgia, serif">Email: <a href="mailto:Mercy@botlab.biz" style="color:rgb(17,85,204)" target="_blank">Mercy@botlab.biz</a></font></div><div><font size="2" color="#000000" face="georgia, serif"><i>Endless possibilities :</i> <a href="http://www.botlab.biz/" style="color:rgb(17,85,204)" target="_blank">www.botlab.biz</a></font></div></div></div></div></div></div></div><font size="2" face="courier new, monospace"><br></font><div><font size="2" face="courier new, monospace"><br><br><font><i>"</i></font>
<span style="line-height:10px;text-align:left;background-color:rgb(255,255,255)">What we are is God's gift to us. What we become is our gift to God. - Eleanor Powell</span></font>
</div></div></div></div></div></div></div></div></div></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Aug 28, 2018 at 9:48 AM Grace Bomu via kictanet <<a href="mailto:kictanet@lists.kictanet.or.ke" target="_blank">kictanet@lists.kictanet.or.ke</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif">Offences are public in nature and their prosecution and sentencing is carried out through the criminal justice system. Remedies on the other hand may be considered from a civil lens and examples include damages, restitution, coercive (injunctions) and declaratory remedies. They are personal and their aim is to give justice to the injured person. A trend with newer laws is the provision of both offences and remedies.  In the copyright law for example, in addition to criminal offences,  one can recover profits from pirated material. <br>Back to our bill, the following offences are created: <br clear="all"></div><div style="font-family:verdana,sans-serif" class="gmail_default">


        
        <span></span>
        
        


<table width="100%" cellspacing="0" cellpadding="4">
        <colgroup><col width="127*">
        <col width="129*">
        </colgroup><tbody><tr valign="top">
                <td style="border-color:rgb(0,0,0) currentcolor rgb(0,0,0) rgb(0,0,0);border-style:solid none solid solid;border-width:1px medium 1px 1px;padding:0.04in 0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%"><b>Offence </b>
                        </p>
                </td>
                <td style="border:1px solid rgb(0,0,0);padding:0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%"><b>Penalty </b>
                        </p>
                </td>
        </tr>
        <tr valign="top">
                <td style="border-color:currentcolor currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none none solid solid;border-width:medium medium 1px 1px;padding:0in 0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">Knowingly supplying false information to the data commissioner
                        during registration as a data controller or processor ( clause 15
                        (3))</p>
                </td>
                <td style="border-color:currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none solid solid;border-width:medium 1px 1px;padding:0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">General penalty under clause 59:  
                        </p>
                        <p style="margin-bottom:0in;line-height:115%">5 million shillings fine or 5 years imprisonment or both</p>
                        <p style="margin-bottom:0in;line-height:115%">plus 
                        </p>
                        <p style="margin-bottom:0in;line-height:115%">possible forfeiture of equipment and prohibition order 
                        </p>
                </td>
        </tr>
        <tr valign="top">
                <td style="border-color:currentcolor currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none none solid solid;border-width:medium medium 1px 1px;padding:0in 0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">Data controller or processor failing to notify the data
                        commissioner about a change in particulars (clause 16 (7))</p>
                </td>
                <td style="border-color:currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none solid solid;border-width:medium 1px 1px;padding:0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">General penalty 
                        </p>
                </td>
        </tr>
        <tr valign="top">
                <td style="border-color:currentcolor currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none none solid solid;border-width:medium medium 1px 1px;padding:0in 0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">unlawful  processing of personal data (clause 27) 
                        </p>
                </td>
                <td style="border-color:currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none solid solid;border-width:medium 1px 1px;padding:0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">5 million shillings fine or 5 years imprisonment 
                        </p>
                </td>
        </tr>
        <tr valign="top">
                <td style="border-color:currentcolor currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none none solid solid;border-width:medium medium 1px 1px;padding:0in 0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">Unlawful processing of sensitive personal data (part v) 
                        </p>
                </td>
                <td style="border-color:currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none solid solid;border-width:medium 1px 1px;padding:0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">5 million shillings fine or 5 years imprisonment 
                        </p>
                </td>
        </tr>
        <tr valign="top">
                <td style="border-color:currentcolor currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none none solid solid;border-width:medium medium 1px 1px;padding:0in 0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">Refusing to comply with a notice from the data commissioner or
                        knowingly furnishing the commissioner with false information
                        during investigations (clause 52(3))</p>
                </td>
                <td style="border-color:currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none solid solid;border-width:medium 1px 1px;padding:0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">General penalty 
                        </p>
                </td>
        </tr>
        <tr valign="top">
                <td style="border-color:currentcolor currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none none solid solid;border-width:medium medium 1px 1px;padding:0in 0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">Disclosure of personal data by controller against specified
                        purpose (clause 58 (1))</p>
                </td>
                <td style="border-color:currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none solid solid;border-width:medium 1px 1px;padding:0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">General penalty 
                        </p>
                </td>
        </tr>
        <tr valign="top">
                <td style="border-color:currentcolor currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none none solid solid;border-width:medium medium 1px 1px;padding:0in 0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">Disclosure of personal data by processor without authority of
                        controller (clause 58 (2))</p>
                </td>
                <td style="border-color:currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none solid solid;border-width:medium 1px 1px;padding:0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">General penalty 
                        </p>
                </td>
        </tr>
        <tr valign="top">
                <td style="border-color:currentcolor currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none none solid solid;border-width:medium medium 1px 1px;padding:0in 0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">Obtaining personal data without prior authority of controller
                        or processor (clause 58 (3)(a))</p>
                </td>
                <td style="border-color:currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none solid solid;border-width:medium 1px 1px;padding:0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">General penalty 
                        </p>
                </td>
        </tr>
        <tr valign="top">
                <td style="border-color:currentcolor currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none none solid solid;border-width:medium medium 1px 1px;padding:0in 0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">Disclosure to a third party (clause 58 (3) (b))</p>
                </td>
                <td style="border-color:currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none solid solid;border-width:medium 1px 1px;padding:0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">General penalty</p>
                </td>
        </tr>
        <tr valign="top">
                <td style="border-color:currentcolor currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none none solid solid;border-width:medium medium 1px 1px;padding:0in 0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">Offer (advertisement) to sell personal data obtained through
                        unlawful disclosure ((clause 58 (4))</p>
                </td>
                <td style="border-color:currentcolor rgb(0,0,0) rgb(0,0,0);border-style:none solid solid;border-width:medium 1px 1px;padding:0in 0.04in 0.04in" width="50%">
                        <p style="margin-bottom:0in;line-height:115%">General penalty</p>
                </td>
        </tr>
</tbody></table>

<br></div><div style="font-family:verdana,sans-serif" class="gmail_default">The bill has taken the criminal law track and has not provided remedies targeting persons injured by contravention of the bill. It does however create a complaints mechanism where the public can lodge complaints with the data commissioner. The powers of the commissioner in addressing such complaints are limited to issuing notices.(and we shall be discussing more about the office powers of the data commissioner in due course)<br><br></div><div style="font-family:verdana,sans-serif" class="gmail_default">Our discussion today is on the question of choosing the offences route as opposed or in addition to the civil route. What are our thoughts on this? Should we have borrowed the pro-rated model of the GDPR where controllers/processors are charged administrative fines according to their revenue? <br></div><div style="font-family:verdana,sans-serif" class="gmail_default">And when we come to offences, are they adequate? Should the magnitude of the offence be measured against the size of the data processor or are all sins equal despite might of the transgressor?<br><br></div><div style="font-family:verdana,sans-serif" class="gmail_default">Listers, please share your views on these issues. As usual, we welcome identification of good and problematic clauses. Welcome to the discussion. <br></div><br>-- <br><div dir="ltr" class="m_-4201069979881097501m_-1237273132558739532m_1129420747379215525gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Grace Mutung'u <br>Skype: gracebomu<br>@Bomu<br><span style="font-size:12.8px">PGP ID : 0x33A3450F</span><br></div><div><br></div></div></div></div></div></div></div></div>
_______________________________________________<br>
kictanet mailing list<br>
<a href="mailto:kictanet@lists.kictanet.or.ke" target="_blank">kictanet@lists.kictanet.or.ke</a><br>
<a href="https://lists.kictanet.or.ke/mailman/listinfo/kictanet" rel="noreferrer" target="_blank">https://lists.kictanet.or.ke/mailman/listinfo/kictanet</a><br>
Twitter: <a href="http://twitter.com/kictanet" rel="noreferrer" target="_blank">http://twitter.com/kictanet</a><br>
Facebook: <a href="https://www.facebook.com/KICTANet/" rel="noreferrer" target="_blank">https://www.facebook.com/KICTANet/</a><br>
Domain Registration sponsored by <a href="http://www.eacdirectory.co.ke" rel="noreferrer" target="_blank">www.eacdirectory.co.ke</a><br>
<br>
Unsubscribe or change your options at <a href="https://lists.kictanet.or.ke/mailman/options/kictanet/mkawira2010%40gmail.com" rel="noreferrer" target="_blank">https://lists.kictanet.or.ke/mailman/options/kictanet/mkawira2010%40gmail.com</a><br>
<br>
The Kenya ICT Action Network (KICTANet) is a multi-stakeholder platform for people and institutions interested and involved in ICT policy and regulation. The network aims to act as a catalyst for reform in the ICT sector in support of the national aim of ICT enabled growth and development.<br>
<br>
KICTANetiquette : Adhere to the same standards of acceptable behaviors online that you follow in real life: respect people's times and bandwidth, share knowledge, don't flame or abuse or personalize, respect privacy, do not spam, do not market your wares or qualifications.<br>
</blockquote></div>
_______________________________________________<br>
kictanet mailing list<br>
<a href="mailto:kictanet@lists.kictanet.or.ke" target="_blank">kictanet@lists.kictanet.or.ke</a><br>
<a href="https://lists.kictanet.or.ke/mailman/listinfo/kictanet" rel="noreferrer" target="_blank">https://lists.kictanet.or.ke/mailman/listinfo/kictanet</a><br>
Twitter: <a href="http://twitter.com/kictanet" rel="noreferrer" target="_blank">http://twitter.com/kictanet</a><br>
Facebook: <a href="https://www.facebook.com/KICTANet/" rel="noreferrer" target="_blank">https://www.facebook.com/KICTANet/</a><br>
Domain Registration sponsored by <a href="http://www.eacdirectory.co.ke" rel="noreferrer" target="_blank">www.eacdirectory.co.ke</a><br>
<br>
Unsubscribe or change your options at <a href="https://lists.kictanet.or.ke/mailman/options/kictanet/marthamuriuki%40gmail.com" rel="noreferrer" target="_blank">https://lists.kictanet.or.ke/mailman/options/kictanet/marthamuriuki%40gmail.com</a><br>
<br>
The Kenya ICT Action Network (KICTANet) is a multi-stakeholder platform for people and institutions interested and involved in ICT policy and regulation. The network aims to act as a catalyst for reform in the ICT sector in support of the national aim of ICT enabled growth and development.<br>
<br>
KICTANetiquette : Adhere to the same standards of acceptable behaviors online that you follow in real life: respect people's times and bandwidth, share knowledge, don't flame or abuse or personalize, respect privacy, do not spam, do not market your wares or qualifications.<br>
</blockquote></div>
_______________________________________________<br>
kictanet mailing list<br>
<a href="mailto:kictanet@lists.kictanet.or.ke" target="_blank">kictanet@lists.kictanet.or.ke</a><br>
<a href="https://lists.kictanet.or.ke/mailman/listinfo/kictanet" rel="noreferrer" target="_blank">https://lists.kictanet.or.ke/mailman/listinfo/kictanet</a><br>
Twitter: <a href="http://twitter.com/kictanet" rel="noreferrer" target="_blank">http://twitter.com/kictanet</a><br>
Facebook: <a href="https://www.facebook.com/KICTANet/" rel="noreferrer" target="_blank">https://www.facebook.com/KICTANet/</a><br>
Domain Registration sponsored by <a href="http://www.eacdirectory.co.ke" rel="noreferrer" target="_blank">www.eacdirectory.co.ke</a><br>
<br>
Unsubscribe or change your options at <a href="https://lists.kictanet.or.ke/mailman/options/kictanet/nmutungu%40gmail.com" rel="noreferrer" target="_blank">https://lists.kictanet.or.ke/mailman/options/kictanet/nmutungu%40gmail.com</a><br>
<br>
The Kenya ICT Action Network (KICTANet) is a multi-stakeholder platform for people and institutions interested and involved in ICT policy and regulation. The network aims to act as a catalyst for reform in the ICT sector in support of the national aim of ICT enabled growth and development.<br>
<br>
KICTANetiquette : Adhere to the same standards of acceptable behaviors online that you follow in real life: respect people's times and bandwidth, share knowledge, don't flame or abuse or personalize, respect privacy, do not spam, do not market your wares or qualifications.<br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div>Grace Mutung'u <br>Skype: gracebomu<br>@Bomu<br><span style="font-size:12.8px">PGP ID : 0x33A3450F</span><br></div><div><br></div></div></div></div></div></div></div>