Makubaliano ya Usindikaji wa Data

1. Tafsiri za maneno

• Sheria Inayotumika — Sheria ya Ulinzi wa Data ya Tanzania (Sheria Na. 11 ya 2022), kanuni zake, na sheria nyingine yoyote ya ulinzi wa data inayotumika kwa shughuli ya Usindikaji.
• Data Binafsi, Usindikaji, Data Subject, Controller, Processor, Sub-processor — kama yalivyofafanuliwa katika Sheria Inayotumika.
• Huduma — huduma za Ōgi zilizoelezwa katika Masharti na Fomu ya Oda.

2. Majukumu ya pande husika

Kwa Data Binafsi inayosindikwa wakati wa kutoa Huduma, Controller ndiye anayebainisha madhumuni na njia za Usindikaji; Ōgi husindika Data Binafsi kwa kufuata maelekezo yaliyoandikwa ya Controller kama Processor. Kila upande hubaki na wajibu wake binafsi wa kuzingatia Sheria Inayotumika ndani ya jukumu lake.

3. Wigo & maelekezo

Ōgi itasindika Data Binafsi (a) tu kadri inavyohitajika kutoa Huduma, (b) kwa kuzingatia maelekezo yaliyoandikwa ya Controller (ikiwemo yaliyo katika Masharti, DPA hii, na usanidi wa dashibodi), na (c) kama inavyotakiwa na Sheria Inayotumika. Ōgi itamjulisha Controller iwapo elekezo lolote litakiuka Sheria Inayotumika.

4. Asili & madhumuni ya usindikaji

Madhumuni. Utoaji wa huduma za uratibu wa malipo, lango la malipo, muunganishaji na wakala zilizoelezwa katika Masharti.
Makundi ya Data Subjects. Watumiaji wa mwisho (walipaji), wafanyakazi wa mfanyabiashara, mawakala walioidhinishwa.
Makundi ya Data Binafsi. Jina, MSISDN, barua pepe, PAN iliyofichwa, kumbukumbu ya akaunti, metadata ya kifaa na IP, kumbukumbu za miamala.
Makundi maalum. Hakuna yanayosindikwa kwa makusudi.
Muda. Kwa kipindi cha Huduma pamoja na uhifadhi kwa mujibu wa Sheria Inayotumika.

5. Usiri

Ōgi inahakikisha kuwa wafanyakazi walioidhinishwa kusindika Data Binafsi wanafungwa na wajibu wa usiri na wanapata mafunzo ya kila mwaka kuhusu faragha, usalama na AML. Ufikiaji unatolewa kwa msingi wa mamlaka ndogo kabisa (least-privilege) ukiwa na uhakiki upya kila robo mwaka.

6. Hatua za usalama

Ōgi inatekeleza hatua zinazofaa za kiufundi na kiutaratibu ili kulinda Data Binafsi dhidi ya Usindikaji usioidhinishwa au usio halali na dhidi ya upotevu, uharibifu, hasara, mabadiliko au ufichuzi wa bahati mbaya. Hatua hizo ni pamoja na:

• TLS 1.3 wakati wa usafirishaji; AES-256 wakati wa kuhifadhi; tokenisation ya sehemu nyeti.
• Usimamizi wa funguo unaotegemea HSM ukiwa na uzungushaji wa kila mwaka.
• RBAC, SSO yenye 2FA ya kifaa, na ufikiaji wa wakati husika (just-in-time) kwa mfumo wa uzalishaji.
• SOC ya saa 24×7, SIEM, ugunduzi wa kiotomatiki wa hitilafu.
• Upimaji wa kupenya (penetration testing) angalau kila mwaka unaofanywa na kampuni huru.
• Uhimilivu wa kanda mbili ukiwa na vitabu vya mwongozo vya kurejesha maafa (DR) vilivyojaribiwa.

Orodha kamili ya udhibiti inapatikana trust.html.

7. Wasindikaji wadogo (Sub-processors)

Controller anaidhinisha Ōgi kuwatumia Sub-processors kwa Usindikaji kadri inavyohitajika kutoa Huduma, chini ya makubaliano yaliyoandikwa yanayoweka wajibu usiopungua kiwango cha ulinzi cha DPA hii. Ōgi inabaki kuwajibika kwa vitendo au makosa ya Sub-processor.

Sub-processors wa sasa wameorodheshwa katika ogiafrica.com/subprocessors na husasishwa pale mabadiliko yanapotokea. Tutatoa taarifa ya angalau siku 30 kabla ya kumtumia Sub-processor mpya au wa mbadala; Controller anaweza kupinga kwa misingi inayofaa na, ikiwa pingamizi haliwezi kutatuliwa, kusitisha Huduma zilizoathirika.

8. Uhamishaji wa kimataifa

Pale Ōgi inapohamisha Data Binafsi nje ya Tanzania, itahakikisha kiwango cha kutosha cha ulinzi kupitia (a) uamuzi wa utoshelevu (adequacy decision), (b) Standard Contractual Clauses, au (c) utaratibu mwingine halali chini ya Sheria Inayotumika. Makao makuu ya data yanabaki kuwa Tanzania.

9. Haki za mhusika wa data

Kwa kuzingatia asili ya Usindikaji, Ōgi itamsaidia Controller kwa hatua zinazofaa za kiufundi na kiutaratibu, kadri iwezekanavyo, kujibu maombi ya Data Subject ya kutekeleza haki zao chini ya Sheria Inayotumika. Maombi yanayopokelewa moja kwa moja na Ōgi yatapelekwa kwa Controller bila kuchelewa kusiko na sababu.

10. Taarifa ya uvunjaji wa data binafsi

Ōgi itamjulisha Controller bila kuchelewa kusiko na sababu na kwa hali yoyote ndani ya saa 48 tangu kugundua uvunjaji wa Data Binafsi unaoathiri data ya Controller, ikiwa na taarifa za kutosha kumwezesha Controller kutimiza wajibu wake wa kutoa taarifa. Taarifa zitatumwa kwa mawasiliano ya usalama yaliyoteuliwa kwenye Fomu ya Oda.

11. Haki za ukaguzi

Ōgi itamwekea wazi Controller taarifa zote zinazohitajika kuonyesha uzingatiaji wa DPA hii, na itachangia katika ukaguzi unaofanywa na Controller au mkaguzi huru aliyekubaliwa na pande zote mbili, si zaidi ya mara moja kila miezi 12 (isipokuwa kunapotokea uvunjaji wa Data Binafsi), kwa taarifa ya siku 30, wakati wa saa za kazi, na chini ya ahadi za usiri. Ōgi inaweza kutimiza wajibu wa ukaguzi kwa kutoa ripoti za hivi karibuni za ukaguzi huru wa upande wa tatu (mfano ISO 27001, SOC 2) pale zinapopatikana.

12. Kurudisha au kufuta

Wakati wa kusitishwa, na kwa chaguo la Controller litakaloeleza ndani ya siku 30, Ōgi itarudisha au kufuta Data Binafsi yote iliyosindikwa kwa niaba ya Controller, isipokuwa pale uhifadhi unapotakiwa na Sheria Inayotumika. Ufutaji utakamilika ndani ya siku 90 tangu kusitishwa.

13. Dhima

Dhima ya pande husika chini ya DPA hii inategemea kikomo cha dhima kilichowekwa katika Masharti. Pale pande zote mbili zinapowajibika kwa hasara ile ile, dhima inagawanywa kulingana na sehemu ya uwajibikaji wa kila upande.

14. Sheria inayotumika & uzito wa makubaliano

DPA hii inasimamiwa na sheria za Tanzania. Iwapo kutatokea mgongano, DPA hii itashinda Masharti katika mambo ya Data Binafsi, na Sheria Inayotumika itashinda zote mbili.