Sheria za Faragha ya Data za Tanzania: Mwongozo wa PDPA 2022 (2026)

Tanzania inasimamia taarifa binafsi chini ya Personal Data Protection Act Na. 11 ya 2022 (ilianza kutumika tarehe 1 Mei 2023). Sheria hiyo inahitaji usajili na Tume ya Ulinzi wa Taarifa Binafsi, Afisa wa Ulinzi wa Data wa lazima chini ya Kifungu cha 27(3), na uzingatiaji wa uchakataji halali, ikiwa na faini za makampuni zinazofikia TZS bilioni 5 kwa ukiukwaji.
Personal Data Protection Act ya Tanzania ya 2022 sasa inatekelezwa kikamilifu. Tume ya Ulinzi wa Taarifa Binafsi ilizinduliwa Aprili 2024, ilitumia mwaka wake wa kwanza kujenga mifumo ya usajili na kutoa mwongozo, na kuanza utekelezaji hai tarehe 9 Aprili 2026 baada ya urefushwaji wa tarehe za mwisho kushindwa kufikia uzingatiaji kamili wa kisekta. Mwongozo huu unashughulikia kila safu ya mfumo wa ulinzi wa data wa Tanzania, kutoka misingi ya kikatiba hadi hatua ya utekelezaji ya Aprili 2026 na sheria zinazoibuka mahakamani.
Kwa maswali kuhusu sheria za idhini ya kurekodi nchini Tanzania, angalia makala ya kando kuhusu sheria za kurekodi za Tanzania.
Wigo wa mamlaka: Makala hii inashughulikia mfumo wa kitaifa wa ulinzi wa data wa Tanzania chini ya Personal Data Protection Act Na. 11 ya 2022 (Tanzania Bara na, kwa Mambo ya Muungano tu, Zanzibar), Electronic and Postal Communications Act, 2010, na Cybercrimes Act, 2015. Haijadili mapendekezo mapana ya uwiano wa Jumuiya ya Afrika Mashariki au sheria za nchi nyingine wanachama wa EAC isipokuwa kwa muktadha mfupi wa kulinganisha.
Jibu la Haraka: Mfumo wa Ulinzi wa Data wa Tanzania
Sheria kuu ya ulinzi wa data ya Tanzania ni Personal Data Protection Act (PDPA), Na. 11 ya 2022. Ilianza kutumika tarehe 1 Mei 2023 na inatekelezwa na Tume ya Ulinzi wa Taarifa Binafsi (PDPC), iliyozinduliwa tarehe 3 Aprili 2024. PDPA inahitaji usajili wa wadhibiti na wachakataji wote wa data, uteuzi wa lazima wa Afisa wa Ulinzi wa Data, na uzingatiaji wa uchakataji halali, haki za wahusika wa data, na kanuni za uhamishaji unaovuka mipaka. Kufikia tarehe 9 Aprili 2026, PDPC ilianza utekelezaji hai dhidi ya taasisi zisizojisajili, ikiwa na faini za kikampuni za hadi TZS bilioni 5. Sheria hiyo inatumika Tanzania Bara na Zanzibar kwa Mambo ya Muungano tu. Vifungu viwili vilibainika kutokuwa wazi kikatiba na Mahakama Kuu Mei 2024 na bado viko chini ya amri ya marekebisho ya serikali.

Haki ya Kikatiba ya Faragha
Msingi wa ulinzi wa data nchini Tanzania umejikita katika Ibara ya 16 ya Katiba ya Jamhuri ya Muungano wa Tanzania, 1977. Ibara hii inaweka haki ya msingi ya faragha ambayo sheria zote za baadaye za ulinzi wa data zinajengwa juu yake.
Ibara ya 16(1) inasema kuwa kila mtu anastahili kuheshimiwa na kulindwa nafsi yake, faragha ya nafsi yake mwenyewe, maisha yake ya familia na ndoa, na heshima na ulinzi wa makazi yake na mawasiliano yake binafsi.
Ibara ya 16(2) inaongeza sharti muhimu. Uingiliaji wowote wa faragha ya mtu lazima uhalalishwe na ufanywe kwa mujibu wa taratibu zilizowekwa kisheria. Hii inamaanisha serikali haiwezi kuingilia faragha ya mtu bila mamlaka ya kisheria.
Wasomi wa sheria na mahakama wamefasiri Ibara ya 16 kuwa inajumuisha data binafsi katika mazingira ya kidijitali. Kupitishwa kwa PDPA mwaka 2022 kunawakilisha utekelezaji wa kisheria wa dhamana hii ya kikatiba, ikitoa haki ya faragha kanuni thabiti na mifumo ya utekelezaji katika enzi ya kidijitali.

Personal Data Protection Act ya 2022
Personal Data Protection Act (PDPA) Na. 11 ya 2022 ndiyo sheria kuu na ya kina zaidi ya ulinzi wa data ya Tanzania. Rais Samia Suluhu Hassan alisaini Sheria hiyo tarehe 27 Novemba 2022, na ilianza kutumika tarehe 1 Mei 2023.
PDPA inatumika kwa uchakataji wote wa taarifa binafsi ndani ya Tanzania, iwe kwa njia za kiotomatiki au za mkono. Pia inatumika kwa wadhibiti na wachakataji wa data walio nje ya Tanzania wanaochakata taarifa binafsi za watu walioko nchini humo.
Kanuni Kuu za Ulinzi wa Data
PDPA inaweka kanuni kadhaa za msingi zinazosimamia uchakataji wote wa taarifa binafsi nchini Tanzania.
Taarifa binafsi lazima zichakatwe kihalali, kwa uadilifu, na kwa uwazi. Wadhibiti lazima wahakikishe usalama wa taarifa binafsi wakati wote wa uchakataji. Data inaweza tu kukusanywa kwa madhumuni ya wazi, mahususi, na halali na haipaswi kuchakatwa zaidi kwa namna inayopingana na madhumuni hayo ya awali.
Data lazima itoshe, iwe na uhusiano, na iwe kiasi kinachohitajika tu kwa madhumuni iliyokusanywa. Taarifa binafsi lazima ziwe sahihi na, pale inapohitajika, zisasishwe. Wadhibiti lazima wachukue hatua za busara kuhakikisha data isiyo sahihi inafutwa au kurekebishwa bila kuchelewa.
Taarifa binafsi hazipaswi kuhifadhiwa kwa muda mrefu zaidi ya unaohitajika kwa madhumuni iliyokusanywa. Wadhibiti lazima watekeleze hatua zinazofaa za kiufundi na kiutawala kulinda taarifa binafsi dhidi ya uchakataji usioidhinishwa au haramu na dhidi ya upotevu, uharibifu, au madhara ya bahati mbaya.
Misingi Halali ya Uchakataji
PDPA inaweka misingi kadhaa halali ya kuchakata taarifa binafsi. Wadhibiti wa data lazima wategemee angalau mmoja wa misingi hii.
Idhini ya mhusika wa data ndiyo msingi mkuu. Idhini hiyo lazima iwe mahususi, ya ufahamu, na iliyotolewa kwa hiari. Kwa taarifa nyeti binafsi, wadhibiti lazima wapate idhini ya awali ya maandishi kutoka kwa mhusika wa data.
Misingi mingine halali ni pamoja na ulazima wa kimkataba, kutimiza wajibu wa kisheria, ulinzi wa maslahi muhimu, utekelezaji wa jukumu linalofanywa kwa maslahi ya umma, na maslahi halali ya mdhibiti au mtu wa tatu (mradi hayazidi haki za mhusika wa data).
Wadhibiti na Wachakataji wa Data
PDPA inatofautisha kati ya wadhibiti wa data na wachakataji wa data. Mdhibiti wa data anaamua madhumuni na njia za uchakataji wa taarifa binafsi na anabeba wajibu mkuu wa uzingatiaji, ikiwa ni pamoja na usajili, uteuzi wa DPO, na usimamizi wa haki za wahusika wa data. Mchakataji wa data anachakata taarifa binafsi kwa niaba ya mdhibiti na lazima afuate maagizo ya mdhibiti, kutekeleza hatua zinazofaa za usalama, kumjulisha mdhibiti kuhusu uvunjaji bila kuchelewa isivyofaa, na kudumisha kumbukumbu za shughuli za uchakataji.
Wadhibiti wanaotumia wachakataji lazima wafanye hivyo chini ya mkataba wa maandishi unaomfunga mchakataji kwenye wajibu wa mdhibiti wa ulinzi wa data.
Haki za Wahusika wa Data
PDPA inawapa wahusika wa data seti kamili ya haki zinazolingana kwa upana na viwango vya kimataifa.
Haki ya kujulishwa inahitaji wadhibiti kutoa taarifa wazi kuhusu shughuli za uchakataji wa data, ikiwa ni pamoja na madhumuni ya uchakataji, makundi ya data yaliyokusanywa, na utambulisho wa mdhibiti.
Haki ya kufikia inaruhusu wahusika wa data kupata uthibitisho wa kama taarifa zao binafsi zinachakatwa na kupata nakala za data hiyo.
Haki ya marekebisho inawawezesha wahusika wa data kuomba marekebisho ya taarifa binafsi zisizo sahihi.
Haki ya kufutwa (wakati mwingine inaitwa haki ya kusahaulika) inaruhusu wahusika wa data kuomba kufutwa kwa taarifa zao binafsi katika mazingira fulani.
Haki ya kupunguza uchakataji inawaruhusu wahusika wa data kupunguza jinsi data yao inavyotumika.
Haki ya kuhamisha data inawaruhusu wahusika wa data kupokea taarifa zao binafsi katika muundo ulioandaliwa, unaotumika kwa kawaida, na kuhamisha data hiyo kwenda mdhibiti mwingine.
Haki ya kupinga inawapa wahusika wa data uwezo wa kupinga aina fulani za uchakataji, ikiwa ni pamoja na uchakataji kwa madhumuni ya masoko ya moja kwa moja.
Haki ya kutopitiwa maamuzi ya kiotomatiki pekee inawalinda wahusika wa data dhidi ya maamuzi yanayotegemea uchakataji wa kiotomatiki pekee, ikiwemo uchambuzi wa kina (profiling), yanayotoa athari za kisheria au athari kubwa zinazofanana.
Taarifa Nyeti Binafsi
PDPA inatoa ulinzi wa hali ya juu kwa taarifa nyeti binafsi. Kundi hili linajumuisha data inayofichua asili ya kikabila au kikabila, maoni ya kisiasa, imani za kidini au kifalsafa, uanachama wa vyama vya wafanyakazi, data ya kijenetiki, data ya kibiolojia inayotumika kwa madhumuni ya utambulisho, data ya afya, na data kuhusu maisha ya kijinsia ya mtu au mwelekeo wa kijinsia.
Kuchakata data nyeti kunahitaji idhini ya awali ya maandishi kutoka kwa mhusika wa data na kunategemea ulinzi wa ziada. Wadhibiti wanaochakata data nyeti lazima watekeleze hatua za usalama zilizoimarishwa na wanaweza kukabiliwa na adhabu kali zaidi kwa ukiukwaji.

Maafisa wa Ulinzi wa Data
Kifungu cha 27(3) cha PDPA kinahitaji kila mdhibiti na mchakataji wa data kuteua Afisa wa Ulinzi wa Data (DPO). Kifungu cha 3 kinafafanua DPO kama "mtu binafsi aliyeteuliwa na mdhibiti au mchakataji wa data mwenye jukumu la kuhakikisha uzingatiaji wa wajibu ulioainishwa katika Sheria hiyo."
Tofauti na Kanuni Kuu ya Ulinzi wa Data (GDPR) ya Umoja wa Ulaya, inayosamehe mashirika madogo na aina fulani za uchakataji kutoka sharti la DPO, PDPA haiweki viwango vya ukubwa wa shirika au vigezo vya kiasi cha uchakataji. Kila chombo kinachohesabika kuwa mdhibiti au mchakataji chini ya Sheria hiyo lazima kiwe na DPO, bila kujali ukubwa.
Wajibu wa DPO
Majukumu makuu ya DPO chini ya PDPA na kanuni zake ni pamoja na:
- Kufuatilia uzingatiaji wa shirika wa PDPA, kanuni zake, na sera za ndani za ulinzi wa data
- Kutambua na kutoa taarifa za ukiukwaji wa ulinzi wa data na kushauri kuhusu hatua za kurekebisha
- Kuwa kiungo kikuu cha mawasiliano kati ya shirika na PDPC
- Kusimamia maombi, malalamiko, na maombi ya ufikiaji ya wahusika wa data
- Kusimamia Tathmini za Athari za Ulinzi wa Data kwa shughuli za uchakataji zenye hatari kubwa
- Kuandaa na kutoa mafunzo na programu za uhamasishaji kwa wafanyakazi
- Kuwasilisha ripoti za uzingatiaji za robo mwaka kwa PDPC
DPO wa Ndani au wa Nje
DPO anaweza kuwa mfanyakazi wa ndani au mtaalamu wa nje, mradi mtu huyo ana uhuru na uelewa wa kutosha wa shughuli za uchakataji wa data za shirika. Pale DPO anapokuwa mfanyakazi wa ndani, shirika lazima lihakikishe jukumu la DPO la ulinzi wa data halisababishi mgongano wa maslahi na majukumu mengine.
PDPC imekuwa ikiendesha programu za mafunzo kwa DPO kote nchini Tanzania tangu kuzinduliwa kwake, ikionyesha umuhimu Tume hiyo inaoupa katika kujenga jamii yenye uwezo wa DPO.
Tume ya Ulinzi wa Taarifa Binafsi (PDPC)
PDPA inaanzisha Tume ya Ulinzi wa Taarifa Binafsi (PDPC) kama mamlaka huru ya usimamizi inayowajibika kusimamia uzingatiaji wa sheria ya ulinzi wa data nchini Tanzania.
Kuanzishwa na Uzinduzi
PDPC ilizinduliwa rasmi tarehe 3 Aprili 2024, ikiashiria mwanzo wa utekelezaji hai wa ulinzi wa data nchini Tanzania. Tume hiyo inafanya kazi kama chombo huru chenye utu wake wa kisheria.
PDPC inaongozwa na Mkurugenzi Mkuu (Dkt. Emmanuel Lameck Mkilia kufikia 2026) na Kamishna aliyeteuliwa na Rais, wakisaidiwa na wafanyakazi wenye utaalamu wa ulinzi wa data, teknolojia ya habari, na sheria.
Mamlaka na Majukumu
PDPC ina mamlaka mapana ya udhibiti na utekelezaji. Ina jukumu la kufuatilia uzingatiaji wa PDPA na kanuni zake, kusajili wadhibiti na wachakataji wa data, kupokea na kuchunguza malalamiko ya ukiukwaji unaodaiwa, kufanya ukaguzi na kaguzi za uzingatiaji, kutoa mwongozo na kanuni za kiutendaji, na kutoza adhabu za kiutawala.
Tume hiyo inaweza kutoa taarifa za utekelezaji zinazowaelekeza wakiukaji kurekebisha uvunjaji ndani ya kipindi kilichoainishwa. Ikiwa ukiukwaji haujarekebishwa, Tume inaweza kutoa taarifa za faini zenye vikwazo vya kifedha.
PDPC pia ina mamlaka ya kuamuru kufutwa kwa taarifa binafsi ikiwa mdhibiti au mchakataji atabainika kukiuka PDPA.
Mahitaji ya Usajili
Mashirika yote yanayochakata taarifa binafsi nchini Tanzania lazima yajisajili na PDPC. Usajili unahitaji kutoa maelezo kuhusu shughuli za uchakataji wa data, aina za taarifa binafsi zinazoshughulikiwa, utambulisho wa DPO aliyeteuliwa, na hatua za usalama zilizopo. Baada ya kuidhinishwa, PDPC hutoa cheti cha usajili chenye uhalali wa miaka mitano.
Tarehe ya mwisho ya usajili ilipita hatua tatu: kipindi cha neema cha kirais kilichokuwa kikiendesha hadi tarehe 31 Desemba 2024 (kilichotangazwa na Rais Samia Suluhu Hassan wakati wa uzinduzi wa PDPC tarehe 3 Aprili 2024), urefushwaji wa kwanza hadi tarehe 30 Aprili 2025 uliotangazwa na PDPC tarehe 10 Januari 2025, na urefushwaji wa mwisho hadi tarehe 8 Aprili 2026 uliotangazwa na Waziri Angella Jasmine Mbelwa Kairuki tarehe 8 Januari 2026. Dkt. Mkilia alithibitisha katika mkutano na waandishi wa habari Dodoma tarehe 26 Machi 2026 kuwa utekelezaji kamili ungeanza tarehe 9 Aprili 2026 bila urefushwaji zaidi.
Sekta zilizolengwa mahususi kwa utekelezaji ni pamoja na wizara na taasisi za serikali, benki, makampuni ya bima, taasisi za mikopo midogo, vituo vya elimu na afya, makampuni ya mawasiliano na watoa huduma za intaneti, majukwaa ya biashara mtandaoni, vituo vya data, uzalishaji viwandani, usafirishaji, utalii, makampuni ya kisheria na uhasibu, vyombo vya habari, vyama vya siasa, na mashirika ya kidini.
Utekelezaji na Malalamiko
PDPC inafuata utaratibu wa utekelezaji uliopangwa. Pale ukiukwaji unapotambuliwa, Tume kwanza inatoa taarifa ya utekelezaji ikimwelekeza mkiukaji kurekebisha uvunjaji ndani ya kipindi kilichoainishwa. Ikiwa ukiukwaji haujarekebishwa ndani ya muda uliotolewa, Tume inaweza kutoa taarifa ya faini yenye vikwazo vya kifedha.
Tume inaweza pia kuamuru fidia kwa wahusika wa data walioathirika kutokana na ukiukwaji. Utaratibu huu wa fidia unatoa suluhu ya moja kwa moja kwa watu walioathirika na uvunjaji wa ulinzi wa data.
Zanzibar na PDPA
Wigo wa kimamlaka wa PDPA umeainishwa katika Kifungu cha 2, kinachoeleza kuwa Sheria hiyo "itatumika Tanzania Bara pamoja na Tanzania Zanzibar, isipokuwa kuwa huko Zanzibar, Sheria hiyo haitumiki kwa mambo yasiyo ya Muungano."
Mfumo wa Mambo ya Muungano
Muundo wa kikatiba wa Tanzania unaonyesha muungano wa 1964 kati ya Jamhuri ya Tanganyika na Jamhuri ya Watu wa Zanzibar. Katiba ya Jamhuri ya Muungano wa Tanzania, 1977 inagawanya mamlaka ya kiserikali kati ya Mambo ya Muungano (yaliyoorodheshwa katika Jedwali la Kwanza) na mambo yasiyo ya Muungano, ambayo yanabaki chini ya utawala wa Zanzibar wenyewe.
Jedwali la Kwanza linaainisha Mambo 22 ya Muungano, ikiwemo: katiba na serikali ya Jamhuri ya Muungano; mambo ya nje na ulinzi; uraia na uhamiaji; benki, sarafu, na udhibiti wa fedha za kigeni; ushuru wa forodha; kodi ya mapato; posta na mawasiliano ya simu; usafiri wa anga wa kiraia; elimu ya juu; mafuta ya madini na gesi asilia; hali ya hewa; takwimu; na usajili wa vyama vya siasa.
Athari za Kivitendo kwa Biashara Zilizoko Zanzibar
Biashara inayofanya kazi Zanzibar lazima itathmini kama shughuli zake za uchakataji wa data zinahusiana na Mambo ya Muungano. Ikiwa shughuli hiyo inagusa Jambo la Muungano (kwa mfano, mawasiliano ya simu, benki, au forodha), PDPA inatumika kikamilifu. Ikiwa shughuli hiyo ni jambo lisilo la Muungano pekee liliko chini ya mamlaka ya Zanzibar (kwa mfano, usimamizi wa usajili wa ardhi wa ndani), PDPA huenda haitumiki.
Zanzibar kwa sasa haina sheria yake tofauti ya ulinzi wa data. PDPC imeonyesha kuwa mwongozo zaidi kuhusu matumizi ya Sheria hiyo Zanzibar utatolewa. Hadi mwongozo huo uchapishwe, biashara zinazofanya kazi Zanzibar zinapaswa kutafuta ushauri wa kisheria uliohitimu kuhusu kama shughuli zao mahususi za uchakataji ziko ndani ya wigo wa Mambo ya Muungano.
Angalizo: Kikomo cha Mambo ya Muungano si msamaha wa jumla wa Zanzibar. Shughuli nyingi za uchakataji wa data za kibiashara, kama benki, mawasiliano ya simu, bima, na biashara mtandaoni, zinagusa Mambo ya Muungano na hivyo ziko chini ya PDPA huko Zanzibar.
Adhabu na Utekelezaji
PDPA na hatua za utekelezaji zinazohusiana zinaweka muundo wa adhabu wa tabaka unaojumuisha vikwazo vya kiutawala na vya jinai.
Jedwali la Muhtasari wa Adhabu
| Aina ya Ukiukwaji | Anayekabiliwa na Adhabu | Wigo wa Faini | Kifungo |
|---|---|---|---|
| Kiutawala (taarifa ya utekelezaji ya PDPC) | Mdhibiti/mchakataji yeyote | Hadi TZS milioni 100 | Hakuna |
| Kutozingatia sheria kwa kitaasisi/kikampuni | Vyombo na taasisi | TZS milioni 1 hadi TZS bilioni 5 | Hakuna |
| Ufichuzi/matumizi mabaya ya taarifa binafsi bila idhini | Watu binafsi | TZS 100,000 hadi TZS milioni 20 | Hadi miaka 10 |
| Uharibifu, ufutaji, ufichaji, au ubadilishaji haramu | Watu binafsi | Hadi TZS milioni 10 | Hadi miaka 5 |
| Ukiukwaji wa jumla (bila kifungu maalum cha adhabu) | Watu binafsi | TZS 100,000 hadi TZS milioni 5 | Hadi miaka 5 |
| Ufuatiliaji wa CCTV bila usajili | Watu binafsi/vyombo | Hadi TZS milioni 50 (Cybercrimes Act k.16) | Hadi miaka 3 |
| Matumizi mabaya ya data ya kibiolojia ya SIM (EPOCA Kanuni ya 20) | Watoa leseni/wafanyabiashara | Si chini ya TZS milioni 5 | Angalau miezi 12 |
Fidia kwa Wahusika wa Data
Hakuna kiwango cha juu kwa fidia ambayo PDPC inaweza kuamuru kwa wahusika wa data walioathirika. Mashirika yanaweza kukabiliwa na hatari kubwa ya kifedha zaidi ya viwango vya juu vya faini za kiutawala kupitia amri za fidia.
Mchakato wa Utekelezaji
Pale ukiukwaji unapotambuliwa, Tume kwanza inatoa taarifa ya utekelezaji ikimwelekeza mkiukaji kurekebisha uvunjaji ndani ya kipindi kilichoainishwa. Ikiwa ukiukwaji haujarekebishwa, Tume inatoa taarifa ya faini yenye vikwazo vya kifedha. Tume inaweza pia kuamuru kufutwa kwa data na fidia kwa wahusika wa data walioathirika.
Electronic and Postal Communications Act (EPOCA), 2010
Kabla ya PDPA, Electronic and Postal Communications Act (EPOCA) ya 2010 ilikuwa mojawapo ya vyombo vikuu vya ulinzi wa data katika sekta ya mawasiliano ya Tanzania. EPOCA inaendelea kutumika na inatoa ulinzi wa kisekta unaoongezea PDPA.
Wajibu wa Usiri
Kifungu cha 98 cha EPOCA kinaweka wajibu wa usiri kwa watoa leseni wa huduma za mtandao na mawakala wao wanaoweza kukutana na taarifa binafsi za wateja. Hii inamaanisha waendeshaji wa mawasiliano ya simu, watoa huduma za intaneti, na wafanyakazi wao hawawezi kufichua data ya wateja bila idhini.
Kifungu cha 99 kinapanua zaidi katazo hili, likikataza ufichuzi wa taarifa za wateja na watoa huduma. Taarifa zinaweza kufichuliwa tu pale zinapohitajika na chombo cha utekelezaji wa sheria, mahakama, au baraza lingine lililoundwa kihalali.
Ulinzi Dhidi ya Upokonyaji
Kifungu cha 120 cha EPOCA kinakataza upokonyaji haramu wa mawasiliano. Kifungu hiki kinawalinda watu dhidi ya ufuatiliaji au uangalizi usioidhinishwa wa mawasiliano yao ya kielektroniki, ikiwemo simu, ujumbe wa maandishi, na shughuli za intaneti.
Ukiukwaji wa makatazo haya ya upokonyaji unabeba adhabu kubwa, ukiimarisha umuhimu ambao Bunge la Tanzania linauweka kwenye faragha ya mawasiliano.
Kanuni za Ulinzi wa Watumiaji
Electronic and Postal Communications (Consumer Protection) Regulations za 2018, zilizotolewa chini ya EPOCA, zinahitaji watoa leseni kulinda taarifa za watumiaji dhidi ya ufichuzi usiofaa au wa bahati mbaya. Kanuni ya 6 inashughulikia mahususi wajibu wa kulinda taarifa binafsi zinazokusanywa wakati wa kutoa huduma za mawasiliano.
Uhamishaji wa Data Kimataifa Chini ya EPOCA
EPOCA inazuia uhamishaji wa taarifa binafsi (ikiwemo uhamishaji nje ya Tanzania) na watoa leseni wa huduma za mawasiliano ya kielektroniki na posta. Data hiyo inaweza tu kuhamishwa ikiwa uhamishaji huo unaendana na masharti yaliyokubaliwa na mhusika wa data na ama Mamlaka ya Udhibiti wa Mawasiliano Tanzania (TCRA) imeidhinisha uhamishaji huo au uhamishaji huo unahitajika na sheria inayotumika.
Vifungu hivyo vilipa Tanzania mfumo wa mapema wa kudhibiti mtiririko wa data kimataifa, ambao PDPA imepanua tangu wakati huo kuhusisha sekta zote.
Usajili wa Kadi za SIM na Data ya Kibiolojia
Electronic and Postal Communications (SIM Card Registration) Regulations za 2020 zinahitaji usajili wa kadi za SIM kwa kutumia data ya kibiolojia. Chini ya Kanuni ya 20, watoa leseni, wafanyabiashara, na mawakala wao wamekatazwa kutumia vibaya data iliyosajiliwa. Ukiukwaji unabeba adhabu ya si chini ya TZS milioni 5 (kama USD 1,800 kwa kiwango cha ubadilishaji cha Mei 2026) au kifungo cha angalau miezi 12, au vyote viwili.
Sharti hili la usajili wa data ya kibiolojia linafanya EPOCA kuwa na umuhimu kwenye mijadala kuhusu ukusanyaji mkubwa wa data na ufuatiliaji, kwa kuwa linamaanisha serikali inashikilia vitambulisho vya kibiolojia vya sehemu kubwa ya idadi ya watu.
Mamlaka ya Udhibiti wa Mawasiliano Tanzania (TCRA)
TCRA ndiyo mamlaka ya udhibiti inayowajibika kusimamia sekta za posta, mawasiliano ya kielektroniki, na utangazaji nchini Tanzania. Ingawa PDPC sasa inashughulikia usimamizi wa jumla wa ulinzi wa data, TCRA inaendelea kuwa na jukumu muhimu la ulinzi wa data wa kisekta kwa mawasiliano ya simu.
Majukumu ya Udhibiti
TCRA ina jukumu la kukuza ushindani mzuri na ufanisi wa kiuchumi huku ikilinda maslahi ya watumiaji katika sekta ya mawasiliano. Majukumu yake ya ulinzi wa data ni pamoja na kutekeleza vifungu vya usiri vya EPOCA, kusimamia uzingatiaji wa usajili wa kadi za SIM, kudumisha Rejesta Kuu ya Utambulisho wa Vifaa (CEIR), na kuidhinisha uhamishaji wa data kimataifa na watoa leseni wa mawasiliano.
Chini ya Kifungu cha 84 cha EPOCA, TCRA lazima ianzishe na kudumisha CEIR, inayohifadhi taarifa kuhusu vifaa vyote vilivyokusanywa na watoa leseni kutoka kwa wateja wao, ikiwemo namba za simu na namba za utambulisho wa vifaa vya simu (IMEI).
Uhusiano na PDPC
Tangu kuanzishwa kwa PDPC, muingiliano wa udhibiti umekuwepo kati ya vyombo hivyo viwili. TCRA inashughulikia ulinzi wa data wa kisekta wa mawasiliano ya simu chini ya EPOCA, wakati PDPC inasimamia ulinzi wa jumla wa data chini ya PDPA. Mashirika katika sekta ya mawasiliano ya simu lazima yazingatie mifumo yote miwili ya udhibiti.
Cybercrimes Act, 2015
Cybercrimes Act ya 2015 ilitungwa tarehe 25 Aprili 2015 na inashughulikia makosa ya jinai yanayohusiana na mifumo ya kompyuta, mitandao, na data ya kielektroniki. Ingawa kimsingi ni sheria ya jinai, ina vifungu muhimu kwa ulinzi wa data.
Vifungu vya Ulinzi wa Data
Cybercrimes Act inatoa vikwazo vya kiadhabu kuzuia unyanyasaji wa faragha na ulinzi wa data. Watoa huduma wanakabiliwa na vikwazo vya kufuatilia data ya wateja na lazima wafuate taratibu zilizowekwa za kushirikisha taarifa na vyombo vya dola.
Sheria hiyo inaharamisha ufikiaji usioidhinishwa wa mifumo na data ya kompyuta, upokonyaji haramu wa uhamishaji wa data, na ufichuzi usioidhinishwa wa taarifa zilizolindwa. Vifungu hivi vinaweka dhima ya jinai kwa uvunjaji wa data unaozidi upotevu wa bahati mbaya au uzembe.
Kifungu cha 16 cha Cybercrimes Act kinatumika kwa ufuatiliaji wa CCTV: vyombo vinavyofunga kamera za ufuatiliaji kukusanya taarifa binafsi bila kujisajili na PDPC vinakabiliwa na faini za hadi TZS milioni 50, kifungo cha hadi miaka mitatu, au vyote viwili. PDPA (Vifungu vya 14 na 21) inaongeza kuwataka waendeshaji wa CCTV kuonyesha alama wazi zinazowajulisha umma kuhusu ufuatiliaji na kuweka kamera ndani ya majengo yao wenyewe pekee.
Ukosoaji na Wasiwasi
Cybercrimes Act imekabiliwa na ukosoaji mkubwa kutoka kwa asasi za kiraia na mashirika ya haki. Wakosoaji wanasema kuwa Sheria hiyo inatoa mamlaka mapana ya ufuatiliaji kwa vyombo vya utekelezaji wa sheria na usimamizi mdogo wa mahakama.
Sheria hiyo inampa mamlaka Waziri anayehusika na teknolojia ya habari na mawasiliano kuwataka watoa huduma kuvijulisha vyombo vya dola kuhusu shughuli za uhalifu zinazodaiwa na kutoa taarifa za utambulisho wa wateja. Mamlaka ya upekuzi na unyang'anyaji chini ya Sheria hiyo ni mapana, jambo linaloleta wasiwasi kuhusu unyanyasaji unaowezekana.
Mashirika ya haki yanasema kuwa ingawa Cybercrimes Act inadai kulinda data, baadhi ya vifungu vyake huenda vinawezesha ufuatiliaji wa serikali na kudhoofisha haki za faragha za watu binafsi.
Kanuni za Utekelezaji
PDPA inaongezewa na kanuni kadhaa za utekelezaji zilizotolewa mwaka 2023 zinazotoa mahitaji ya kina ya kiutaratibu.
Personal Data Collection and Processing Regulations, 2023
Personal Data Protection (Personal Data Collection and Processing) Regulations, GN Na. 449C ya 2023, zilianza kutumika tarehe 4 Julai 2023. Kanuni hizi zinaeleza kwa kina jinsi wadhibiti na wachakataji wa data wanavyopaswa kushughulikia taarifa binafsi, ikiwa ni pamoja na mahitaji ya taarifa za faragha, mifumo ya idhini, sera za uhifadhi wa data, na hatua za usalama.
Complaints Settlement Procedures Regulations, 2023
Personal Data Protection (Complaints Settlement Procedures) Regulations za 2023 zinaweka mchakato wa kufungua na kutatua malalamiko ya ulinzi wa data na PDPC. Zinaeleza jinsi wahusika wa data wanavyoweza kufungua malalamiko, taratibu za uchunguzi ambazo Tume itafuata, na suluhu zinazopatikana.
Mahitaji ya Uhamishaji Unaovuka Mipaka
Kanuni hizo zinaweka mahitaji ya kina ya kuhamisha taarifa binafsi nje ya Tanzania. Chini ya Kifungu cha 31 cha PDPA, taarifa binafsi zinaweza tu kuhamishwa kwenda nchi zenye mifumo inayofaa ya ulinzi wa data.
Kanuni hizo zinaeleza mchakato wa kuomba kibali chini ya Kanuni ya 20. Wadhibiti wa data lazima waonyeshe kuwa nchi inayopokea imeridhia makubaliano ya kimataifa yanayotoa mahitaji ya ulinzi wa data, kuna makubaliano ya nchi mbili kati ya Tanzania na nchi inayopokea, au makubaliano ya kimkataba kati ya mwombaji na mpokeaji wa kigeni yanatoa ulinzi unaofaa.
Tume na Waziri wa Mawasiliano wana mamlaka mapana ya kuamua kama kuidhinisha uhamishaji wa data kimataifa. Hata pale masharti rasmi yanapotimizwa, idhini haihakikishwi. Hii inaipa vyombo vya dola vya Tanzania udhibiti mkubwa juu ya mtiririko wa data kimataifa.
Taarifa ya Uvunjaji wa Data
PDPA inahitaji wadhibiti wa data kumjulisha PDPC kuhusu uvunjaji wowote wa usalama wa taarifa binafsi. Uvunjaji wa usalama unahusisha upotevu wa uzembe au ubadilishaji, uharibifu, ufichuzi, ufikiaji, au uchakataji usioidhinishwa wa taarifa binafsi. Ikiwa mchakataji wa data atagundua uvunjaji, lazima amjulishe mdhibiti wa data bila kuchelewa isivyofaa.
PDPA haielezi kipindi maalum cha wakati wa kutoa taarifa, tofauti na mifumo kama GDPR yenye dirisha la saa 72. Wadhibiti lazima watoe taarifa "haraka," lakini maana halisi ya hilo kivitendo bado haijafafanuliwa na mwongozo wa PDPC kufikia katikati ya 2026. Mashirika yanashauriwa kuchukulia saa 72 kama lengo la kufanyia kazi hadi PDPC itakapotoa mwongozo mahususi.
Wadhibiti pia lazima wadumishe taratibu za kugundua, kushughulikia, na kujibu uvunjaji kama sehemu ya wajibu wao wa usalama chini ya PDPA.
Maendeleo ya Hivi Karibuni (2024-2026)
Uzinduzi wa PDPC (Aprili 2024)
Tume ya Ulinzi wa Taarifa Binafsi ilizinduliwa rasmi tarehe 3 Aprili 2024, karibu miezi 11 baada ya PDPA kuanza kutumika. Uzinduzi huo ulikuwa mwanzo wa mpito kutoka sheria iliyoko kwenye karatasi kwenda usimamizi hai wa udhibiti, huku PDPC ikianza kupokea usajili, kutoa mwongozo, na kujenga uwezo wake wa utekelezaji.
Changamoto ya Kikatiba: Magoti v. Attorney General (Mei 2024)
Tarehe 8 Mei 2024, Mahakama Kuu ya Tanzania jijini Dar es Salaam ilitoa uamuzi muhimu kuhusu uhalali wa kikatiba wa PDPA. Mtetezi wa haki za binadamu Tito Magoti aliomba mahakama hiyo kupinga vifungu 13 vya Sheria hiyo kuwa havioani na haki za msingi chini ya Katiba.
Jopo la majaji watatu liliamua kuwa vifungu vingi vilikuwa halali kikatiba lakini vilitambua vifungu viwili kuwa havikuwa wazi kikatiba:
- Kifungu cha 22(3) (kuhusu njia haramu za kukusanya na kuchakata taarifa binafsi): mahakama ilibaini kuwa kifungu hicho ni "pana na kisicho wazi" chenye "ukosefu wa uwazi" kuhusu vitendo au uzembe unaohesabika kuwa ukusanyaji haramu.
- Kifungu cha 23(3)(c)(e) (kuhusu mifano ya kutengwa kwa idhini ya mhusika wa data): mahakama ilibaini kuwa kifungu hicho ni "chenye utata, kisicho wazi na kisicho na taratibu zilizoainishwa."
Mahakama iliamuru serikali kurekebisha vifungu vyote viwili ndani ya mwaka mmoja ili kutoa "uhakika kuhusu ni vitendo au uzembe upi utahesabiwa kuwa haramu." Ikiwa marekebisho hayatakamilika, vifungu hivyo vitaondolewa katika sheria. Kipindi cha mwaka mmoja cha marekebisho kiliisha Mei 2025; hali ya marekebisho yoyote ya kibunge inapaswa kuthibitishwa dhidi ya kumbukumbu rasmi kutoka parliament.go.tz.
Urefushwaji wa Tarehe ya Mwisho ya Usajili na Utekelezaji wa Mwisho (2024-2026)
Sharti la usajili la PDPA lilipitia hatua nne za utekelezaji kabla ya adhabu hai kuanza:
- Desemba 31, 2024: kipindi cha neema cha awali kilichowekwa na Rais Samia Suluhu Hassan wakati wa uzinduzi wa PDPC tarehe 3 Aprili 2024. Wadhibiti na wachakataji wote wa data wa sekta za umma na binafsi walielekezwa kujisajili kufikia mwisho wa mwaka 2024.
- Aprili 30, 2025: urefushwaji wa kwanza, uliotangazwa na Mkurugenzi Mkuu wa PDPC Dkt. Mkilia tarehe 10 Januari 2025 kutoa muda zaidi kwa miundombinu ya uzingatiaji kufikia mashirika madogo.
- Aprili 8, 2026: tarehe ya mwisho ya kudumu, iliyotangazwa tarehe 8 Januari 2026 na Waziri Angella Jasmine Mbelwa Kairuki katika sherehe ya mafunzo ya DPO jijini Arusha. Waziri Kairuki alisema: "Hakuna msamaha utakaotolewa, na hatua za utekelezaji zitachukuliwa dhidi ya wote wanaokiuka."
- Aprili 9, 2026: Mkurugenzi Mkuu wa PDPC Dkt. Emmanuel Lameck Mkilia alithibitisha kuwa utekelezaji kamili ulianza, ukiwa na ukaguzi wa uzingatiaji uliopangwa katika sekta zote zilizolengwa.
Programu za Mafunzo ya DPO
Tangu kuzinduliwa kwake, PDPC imekuwa ikiendesha mfululizo wa programu za mafunzo ya Afisa wa Ulinzi wa Data kote nchini Tanzania. Programu hizi zinaonyesha mtazamo wa Tume wa kujenga utamaduni wa uzingatiaji kabla ya kuongeza kasi kwenda utekelezaji wa kiadhabu, na mafunzo ya DPO yanaonekana kuwa yalitangulia tarehe ya mwisho ya utekelezaji.
Tanzania Katika Mazingira ya Ulinzi wa Data ya Afrika Mashariki
Mfumo wa ulinzi wa data wa Tanzania upo ndani ya muktadha mpana wa udhibiti wa faragha unaobadilika kwa kasi kote Afrika Mashariki.
Kulinganisha Kikanda
Wanachama wote wakuu wa Jumuiya ya Afrika Mashariki sasa wamepitisha sheria za ulinzi wa data zilizoigwa kwa sehemu kutoka GDPR. Data Protection Act ya Kenya ya 2019, Data Protection and Privacy Act ya Uganda ya 2019, na PDPA ya Tanzania ya 2022 zinashirikiana sifa za pamoja ikiwa ni pamoja na mamlaka huru za usimamizi, mifumo ya uchakataji inayotegemea idhini, na vikwazo vya uhamishaji unaovuka mipaka.
Kenya kwa sasa inaongoza kanda hiyo katika ukomavu wa utekelezaji wa ulinzi wa data, huku Ofisi yake ya Kamishna wa Ulinzi wa Data (ODPC) ikiwa inafanya kazi tangu 2020. Ofisi ya Ulinzi wa Taarifa Binafsi ya Uganda inafanya kazi chini ya National Information Technology Authority. PDPC ya Tanzania, ingawa mpya zaidi, ilihamia haraka kuweka mahitaji ya usajili na kuanza utekelezaji mwaka 2026.
Changamoto za Uwiano
Licha ya kufanana kwa mifumo yao ya kisheria, mataifa matatu ya Afrika Mashariki yanatofautiana katika wigo, vifungu, na uwezo wa utekelezaji. Mkabala mmoja ulioungana kote Jumuiya ya Afrika Mashariki bado haujajitokeza, ukiunda changamoto za uzingatiaji kwa mashirika yanayofanya kazi kuvuka mipaka katika kanda hiyo.
Ushirikiano wa kikanda unakua. Tanzania imeshiriki katika miradi ya kubadilishana maarifa na mamlaka nyingine za ulinzi wa data za Afrika, na kuna mijadala inayoendelea kuhusu kuandaa viwango vya pamoja ndani ya EAC.
Mkataba wa Umoja wa Afrika
Tanzania pia inaathiriwa na Mkataba wa Umoja wa Afrika kuhusu Usalama wa Mtandao na Ulinzi wa Taarifa Binafsi (Malabo Convention), uliopitishwa mwaka 2014. Ingawa uridhiaji katika bara zima umekuwa wa polepole, mkataba huo unatoa mfumo wa kibara unaoathiri sheria za kitaifa katika nchi wanachama wa Umoja wa Afrika, ikiwemo Tanzania.
Mwongozo wa Kivitendo wa Uzingatiaji
Mashirika yanayofanya kazi nchini Tanzania au yanayochakata taarifa binafsi za wakazi wa Tanzania yanapaswa kushughulikia kila eneo lifuatalo.
Usajili
Tarehe ya mwisho ya usajili ya Aprili 8, 2026 imepita. Shirika lolote ambalo bado halijajisajili na PDPC sasa linafanya kazi kinyume cha sheria na linakabiliwa na hatua za utekelezaji. PDPC imetangaza ukaguzi hai wa uzingatiaji katika sekta zote. Usajili unahitaji kutoa maelezo kuhusu shughuli zako za uchakataji wa data, makundi ya data iliyochakatwa, utambulisho wa DPO wako, na hatua za usalama zilizopo. Vyeti vya usajili, mara vinapotolewa, vina uhalali wa miaka mitano.
Uteuzi wa Afisa wa Ulinzi wa Data
Teua DPO chini ya Kifungu cha 27(3) cha PDPA ikiwa bado hujafanya hivyo. DPO anaweza kuwa mfanyakazi wa ndani au mtaalamu wa nje. Andika uteuzi huo, fafanua uhuru wa DPO, na hakikisha DPO ana ufikiaji wa rasilimali za mafunzo za PDPC. DPO lazima wawasilishe ripoti za uzingatiaji za robo mwaka kwa PDPC.
Mifumo ya Idhini
Pitia na sasisha mazoea ya kukusanya idhini. Idhini lazima iwe mahususi, ya ufahamu, na iliyotolewa kwa hiari. Kwa taarifa nyeti binafsi, idhini ya maandishi ni ya lazima. Kumbuka kuwa Kifungu cha 23(3)(c)(e) (mifano ya kutengwa kwa idhini) kilibainika kutokuwa wazi kikatiba na Mahakama Kuu Mei 2024; shauriana na mshauri aliyehitimu kabla ya kutegemea makundi hayo ya mifano hadi serikali itoe marekebisho.
Uhamishaji Unaovuka Mipaka
Ikiwa unahamisha taarifa binafsi nje ya Tanzania, thibitisha kuwa umepata kibali kinachohitajika kutoka PDPC chini ya Kanuni ya 20 ya Kanuni za 2023. Andaa nyaraka zinazoonyesha kuwa nchi inayopokea inatoa ulinzi wa data unaotosha au kuwa ulinzi unaofaa wa kimkataba upo.
Usalama wa Data
Tekeleza hatua zinazofaa za kiufundi na kiutawala kulinda taarifa binafsi. PDPA inahitaji usimbaji fiche, uhifadhi salama, vikwazo vya ufikiaji, na ulinzi mwingine unaolingana na unyeti wa data unayochakata. DPO wanapaswa kusimamia Tathmini za Athari za Ulinzi wa Data kwa shughuli za uchakataji zenye hatari kubwa.
Maombi ya Wahusika wa Data
Weka taratibu za kushughulikia maombi ya haki za wahusika wa data, ikiwa ni pamoja na maombi ya ufikiaji, marekebisho, kufutwa, na uhamishaji wa data. Jibu maombi ndani ya muda unaofaa.
Mwitikio wa Uvunjaji
Andaa mpango wa mwitikio wa uvunjaji wa data unaojumuisha taratibu za kujulisha PDPC na wahusika wa data walioathirika. Kwa kukosekana kwa ratiba mahususi ya PDPC, chukulia saa 72 kama lengo la kufanyia kazi. Tambua wafanyakazi wanaowajibika kusimamia mwitikio wa uvunjaji.
Ufuatiliaji wa CCTV
Ikiwa shirika lako linaendesha kamera za CCTV zinazonasa taarifa binafsi, sajili mifumo hiyo na PDPC chini ya Vifungu vya 14 na 21 vya PDPA. Weka alama wazi. Weka kamera ndani ya majengo yako mwenyewe tu. Kushindwa kusajili mifumo ya CCTV kunabeba adhabu chini ya PDPA na Cybercrimes Act (Kifungu cha 16).
Tamko la Kuwajibika: Makala hii inatoa taarifa za jumla za kisheria kuhusu sheria za faragha ya data za Tanzania kufikia Mei 2026. Si ushauri wa kisheria. Sheria za ulinzi wa data zinabadilika mara kwa mara na misimamo ya utekelezaji inabadilika. Wasiliana na wakili aliyehitimu aliyeidhinishwa nchini Tanzania kwa mwongozo kuhusu hali yako mahususi.
Frequently Asked Questions
Sheria kuu ya ulinzi wa data ya Tanzania ni ipi?
Sheria kuu ya ulinzi wa data ya Tanzania ni Personal Data Protection Act (PDPA) Na. 11 ya 2022, iliyoanza kutumika tarehe 1 Mei 2023. Inaweka mahitaji kamili ya ukusanyaji, uchakataji, uhifadhi, na uhamishaji wa taarifa binafsi. Sheria hiyo inaongezewa na kanuni za utekelezaji zilizotolewa mwaka 2023 na inatekelezwa na Tume ya Ulinzi wa Taarifa Binafsi (PDPC), iliyozinduliwa tarehe 3 Aprili 2024 na kuanza utekelezaji hai tarehe 9 Aprili 2026.
Nani anatekeleza sheria za ulinzi wa data nchini Tanzania?
Tume ya Ulinzi wa Taarifa Binafsi (PDPC) ndiyo mamlaka kuu ya utekelezaji. Iliyozinduliwa tarehe 3 Aprili 2024, PDPC ina mamlaka ya kuchunguza malalamiko, kufanya ukaguzi, kutoa taarifa za utekelezaji, kutoza faini za kiutawala za hadi TZS milioni 100, na kuamuru fidia kwa wahusika wa data walioathirika. Kwa kutozingatia sheria kwa kikampuni na kitaasisi, adhabu zinaanzia TZS milioni 1 hadi TZS bilioni 5. Mamlaka ya Udhibiti wa Mawasiliano Tanzania (TCRA) inabaki na jukumu tofauti la utekelezaji kwa ulinzi wa data wa kisekta wa mawasiliano ya simu chini ya Electronic and Postal Communications Act (EPOCA).
Adhabu za kukiuka sheria za ulinzi wa data nchini Tanzania ni zipi?
Adhabu hutegemea aina ya ukiukwaji na kama mkiukaji ni mtu binafsi au taasisi. Faini za kiutawala zinafikia hadi TZS milioni 100. Kwa vyombo vya kikampuni na kitaasisi, adhabu zinaanzia TZS milioni 1 hadi TZS bilioni 5 kutegemea uzito wa ukiukwaji. Adhabu za jinai kwa watu binafsi kwa ufichuzi au matumizi mabaya ya taarifa binafsi bila idhini zinaweza kufikia TZS milioni 20 au hadi miaka 10 jela. PDPC pia inaweza kuamuru malipo ya fidia yasiyo na kiwango cha juu kwa wahusika wa data walioathirika.
Je, PDPA inatumika Zanzibar?
PDPA inatumika Tanzania Bara na Tanzania Zanzibar, lakini huko Zanzibar ni kwa Mambo ya Muungano tu kama yalivyoainishwa katika Jedwali la Kwanza la Katiba ya Jamhuri ya Muungano wa Tanzania. Mambo ya Muungano yanajumuisha maeneo 22 yaliyoorodheshwa kama benki, mawasiliano ya simu, usafiri wa anga wa kiraia, forodha, na uhamiaji. Shughuli za uchakataji wa data Zanzibar zisizo Mambo ya Muungano hazisimamiwi na PDPA. Zanzibar kwa sasa haina sheria yake tofauti ya ulinzi wa data, na PDPC imeonyesha kuwa mwongozo zaidi wa ufafanuzi utatolewa.
Je, kila shirika nchini Tanzania lazima liteue Afisa wa Ulinzi wa Data?
Ndiyo. Kifungu cha 27(3) cha PDPA kinahitaji wadhibiti na wachakataji wote wa data kuteua Afisa wa Ulinzi wa Data. Hakuna viwango vya ukubwa wa shirika au misamaha. DPO anaweza kuwa mfanyakazi wa ndani au mtaalamu wa nje. Majukumu makuu ya DPO ni pamoja na kufuatilia uzingatiaji wa PDPA, kusimamia maombi ya wahusika wa data, kusimamia Tathmini za Athari za Ulinzi wa Data, na kuwasilisha ripoti za uzingatiaji za robo mwaka kwa PDPC.
Je, taarifa binafsi zinaweza kuhamishwa nje ya Tanzania?
Ndiyo, lakini chini ya masharti magumu. Kifungu cha 31 cha PDPA kinaruhusu uhamishaji unaovuka mipaka tu kwenda nchi zenye mifumo inayofaa ya ulinzi wa data. Wadhibiti wa data lazima waombe kibali kutoka PDPC chini ya Kanuni ya 20 ya Kanuni za 2023 na kuonyesha kuwa nchi inayopokea ina makubaliano ya kimataifa yanayofaa, mipangilio ya nchi mbili, au ulinzi wa kimkataba uliopo. Tume na Waziri wa Mawasiliano wanabaki na mamlaka mapana juu ya idhini za uhamishaji.
Sharti la taarifa ya uvunjaji wa data nchini Tanzania ni lipi?
Wadhibiti wa data lazima 'wajulishe haraka' PDPC kuhusu uvunjaji wowote wa usalama wa taarifa binafsi. Uvunjaji unahusisha upotevu wa uzembe au ubadilishaji, uharibifu, ufichuzi, ufikiaji, au uchakataji usioidhinishwa wa taarifa binafsi. Ikiwa mchakataji wa data atagundua uvunjaji, lazima amjulishe mdhibiti wa data bila kuchelewa isivyofaa. PDPA haielezi idadi maalum ya masaa ya kutoa taarifa, tofauti na dirisha la saa 72 la GDPR. Hadi PDPC itoe mwongozo mahususi, mashirika yanashauriwa kuchukulia saa 72 kama lengo la kufanyia kazi.
Je, sehemu yoyote ya PDPA ya Tanzania ilibainika kutokuwa wazi kikatiba?
Ndiyo. Tarehe 8 Mei 2024, Mahakama Kuu ya Tanzania iliamua kuwa Kifungu cha 22(3) (kuhusu njia haramu za kukusanya data) na Kifungu cha 23(3)(c)(e) (kuhusu mifano ya kutengwa kwa idhini) havikuwa wazi kikatiba. Mahakama iliamuru serikali kurekebisha vifungu vyote viwili ndani ya mwaka mmoja. Hali ya marekebisho yoyote ya kibunge inapaswa kuthibitishwa dhidi ya kumbukumbu rasmi. Hadi marekebisho yatungwe, vifungu hivyo vinabaki na utata wa kisheria na mashirika yanapaswa kutafuta ushauri wa kisheria uliohitimu kabla ya kuvitegemea.
Je, mashirika yanahitaji kujisajili na PDPC?
Ndiyo. Tarehe ya mwisho ya usajili ilikuwa Aprili 8, 2026. Mashirika ambayo bado hayajajisajili yanafanya kazi kinyume cha sheria na yanakabiliwa na hatua za utekelezaji zilizoanza Aprili 9, 2026. Usajili unahitaji kutoa taarifa kuhusu shughuli za uchakataji wa data, makundi ya taarifa binafsi zinazoshughulikiwa, utambulisho wa DPO aliyeteuliwa, na hatua za usalama zilizopo. Cheti cha usajili, mara kinapotolewa, kina uhalali wa miaka mitano.
Sources and References
- Personal Data Protection Act Na. 11 ya 2022 (Maandishi Kamili)(pdpc.go.tz).gov
- Tume ya Ulinzi wa Taarifa Binafsi (PDPC) - Tovuti Rasmi(pdpc.go.tz).gov
- Kanuni za Utekelezaji za PDPC(pdpc.go.tz).gov
- Personal Data Collection and Processing Regulations, 2023 (GN Na. 449C)(mawasiliano.go.tz).gov
- Katiba ya Jamhuri ya Muungano wa Tanzania, 1977(parliament.go.tz).gov
- Ukurasa wa Afisa wa Ulinzi wa Data wa PDPC(pdpc.go.tz).gov
- Mamlaka ya Udhibiti wa Mawasiliano Tanzania (TCRA)(tcra.go.tz).gov
- Cybercrimes Act, 2015 (Maandishi Kamili kupitia TanzLII)(tanzlii.org)
- Clyde & Co - Jukumu la Maafisa wa Ulinzi wa Data(clydeco.com)
- Clyde & Co - Uhamishaji wa Taarifa Binafsi Unaovuka Mipaka Tanzania(clydeco.com)
- Clyde & Co - Wajibu Muhimu kwa Wadhibiti na Wachakataji wa Data(clydeco.com)
- Biometric Update - Mahakama Yaamuru Mabadiliko kwa Sheria ya Ulinzi wa Data ya Tanzania(biometricupdate.com)
- The Chanzo - PDPC Yatoa Onyo la Mwisho Kabla ya Tarehe ya Mwisho ya Utekelezaji ya Aprili(thechanzo.com)
- FB Attorneys - Ulinzi wa Taarifa Binafsi Zanzibar(fbattorneys.co.tz)
- Future of Privacy Forum - Muhtasari wa PDPA ya Tanzania(fpf.org)
- DLA Piper - Sheria za Ulinzi wa Data Duniani (Tanzania)(dlapiperdataprotection.com)
- CIPESA - Udhibiti wa Utawala wa Data Tanzania(cipesa.org)