10 Mar 20264 Min Read
Data Privacy: Sector Compliance
የፋይናንስ ዘርፍ የግል መረጃ ጥበቃ ደንቦች
Topic: Data Privacy Sector Compliance in Ethiopia’s Financial Industry
Analysis: Obligations of Financial Institutions under Proclamation No. 1321/2024
1. Introduction
With the rapid digitization of banking and fintech services in Ethiopia, the protection of personal data has transitioned from a best practice to a strict legal necessity. The enactment of the Personal Data Protection Proclamation No. 1321/2024 marks a significant shift in how financial institutions (Banks, MFIs, and Fintechs) must handle customer information.
2. Key Obligations for Financial Institutions
Under the new proclamation, financial institutions are categorized as "Data Controllers" or "Data Processors." Their primary obligations include:
Lawfulness and Consent: Financial institutions must have a legal basis for processing data. While many transactions fall under "contractual necessity," marketing and thirdparty sharing often require explicit, informed consent from the customer.
Purpose Limitation: Data collected for KYC (Know Your Customer) purposes cannot be repurposed for unrelated marketing activities without additional legal grounds.
Data Minimization: Institutions must only collect the minimum amount of data necessary to provide the service.
Security Measures: Banks are legally required to implement robust technical and organizational measures (encryption, firewalls, access controls) to prevent data breaches.
CrossBorder Data Transfer: Since many Ethiopian banks use international cloud services, they must ensure that data transferred outside Ethiopia is sent to jurisdictions with "adequate protection" or under specific authorized conditions.
3. Data Subject Rights
The Proclamation empowers Ethiopian citizens with specific rights that financial institutions must honor:
Right to Access: Customers can request a copy of the data held about them.
Right to Rectification: Customers can demand the correction of inaccurate financial records.
Right to Erasure (Right to be Forgotten): Under certain conditions, customers can request the deletion of their data, provided it does not conflict with statutory retention periods (e.g., AntiMoney Laundering laws).
4. Regulatory Oversight and Penalties
The Ethiopian Communications Authority (ECA), or a designated data protection commission, is tasked with oversight. Noncompliance can lead to:
Heavy administrative fines.
Reputational damage and loss of customer trust.
Legal liability for damages caused to data subjects.
5. Strategic Conclusion
Compliance is not merely a legal hurdle but a strategic advantage. Financial institutions that prioritize data privacy will foster deeper trust with digitalsavvy customers and ensure a smoother integration into the global financial ecosystem.
Analysis: Obligations of Financial Institutions under Proclamation No. 1321/2024
1. Introduction
With the rapid digitization of banking and fintech services in Ethiopia, the protection of personal data has transitioned from a best practice to a strict legal necessity. The enactment of the Personal Data Protection Proclamation No. 1321/2024 marks a significant shift in how financial institutions (Banks, MFIs, and Fintechs) must handle customer information.
2. Key Obligations for Financial Institutions
Under the new proclamation, financial institutions are categorized as "Data Controllers" or "Data Processors." Their primary obligations include:
Lawfulness and Consent: Financial institutions must have a legal basis for processing data. While many transactions fall under "contractual necessity," marketing and thirdparty sharing often require explicit, informed consent from the customer.
Purpose Limitation: Data collected for KYC (Know Your Customer) purposes cannot be repurposed for unrelated marketing activities without additional legal grounds.
Data Minimization: Institutions must only collect the minimum amount of data necessary to provide the service.
Security Measures: Banks are legally required to implement robust technical and organizational measures (encryption, firewalls, access controls) to prevent data breaches.
CrossBorder Data Transfer: Since many Ethiopian banks use international cloud services, they must ensure that data transferred outside Ethiopia is sent to jurisdictions with "adequate protection" or under specific authorized conditions.
3. Data Subject Rights
The Proclamation empowers Ethiopian citizens with specific rights that financial institutions must honor:
Right to Access: Customers can request a copy of the data held about them.
Right to Rectification: Customers can demand the correction of inaccurate financial records.
Right to Erasure (Right to be Forgotten): Under certain conditions, customers can request the deletion of their data, provided it does not conflict with statutory retention periods (e.g., AntiMoney Laundering laws).
4. Regulatory Oversight and Penalties
The Ethiopian Communications Authority (ECA), or a designated data protection commission, is tasked with oversight. Noncompliance can lead to:
Heavy administrative fines.
Reputational damage and loss of customer trust.
Legal liability for damages caused to data subjects.
5. Strategic Conclusion
Compliance is not merely a legal hurdle but a strategic advantage. Financial institutions that prioritize data privacy will foster deeper trust with digitalsavvy customers and ensure a smoother integration into the global financial ecosystem.
የፋይናንስ ዘርፍ የግል መረጃ ጥበቃ ደንቦች
ርዕስ፡ በኢትዮጵያ የፋይናንስ ዘርፍ የግል መረጃ ጥበቃ ተገዢነት
ትንተና፡ የፋይናንስ ተቋማት በአዋጅ ቁጥር 1321/2016 መሠረት ያለባቸው ግዴታዎች
1. መግቢያ
በኢትዮጵያ የባንክ እና የፊንቴክ አገልግሎቶች በከፍተኛ ፍጥነት ወደ ዲጂታል እየተቀየሩ ባለበት በዚህ ወቅት፣ የደንበኞችን የግል መረጃ መጠበቅ ከልምድ አሰራርነት ወደ ጥብቅ የህግ ግዴታነት ተሸጋግሯል። አዲሱ የግል መረጃ ጥበቃ አዋጅ ቁጥር 1321/2016 የፋይናንስ ተቋማት (ባንኮች፣ ጥቃቅን ፋይናንሶች እና ፊንቴክ ኩባንያዎች) መረጃን በሚይዙበት መንገድ ላይ ትልቅ ለውጥ አምጥቷል።
2. የፋይናንስ ተቋማት ዋና ዋና ግዴታዎች
በአዲሱ አዋጅ መሠረት የፋይናንስ ተቋማት "መረጃ ተቆጣጣሪዎች" ወይም "መረጃ አቀነባባሪዎች" ተብለው የሚፈረጁ ሲሆን፣ የሚከተሉት ዋና ዋና ግዴታዎች ይኖሩባቸዋል፡
ህጋዊነት እና ፈቃድ፡ ተቋማት መረጃን ለማሰባሰብ ህጋዊ መሠረት ሊኖራቸው ይገባል። ምንም እንኳን የባንክ ስራዎች በውል ስምምነት ላይ የተመሰረቱ ቢሆኑም፣ መረጃን ለሶስተኛ ወገን አሳልፎ ለመስጠት ወይም ለማስታወቂያ ስራ ለመጠቀም የደንበኛው ግልጽ ፈቃድ ያስፈልጋል።
የዓላማ ውስንነት፡ ለደንበኛ ማንነት ማረጋገጫ (KYC) የተሰበሰበ መረጃ፣ ከዛ ዓላማ ውጭ ለሆኑ ሌሎች ጉዳዮች ደንበኛው ሳይፈቅድ መጠቀም የተከለከለ ነው።
አስፈላጊ መረጃን ብቻ መሰብሰብ፡ ተቋማት ለአገልግሎታቸው የሚያስፈልገውን አነስተኛ መረጃ ብቻ የመሰብሰብ ግዴታ አለባቸው።
የመረጃ ደህንነት ጥበቃ፡ ባንኮች መረጃዎች እንዳይሰረቁ ወይም እንዳይባክኑ ጠንካራ የቴክኖሎጂ (Encryption) እና የአሰራር ጥበቃዎችን የማድረግ ህጋዊ ግዴታ አለባቸው።
ድንበር ተሻጋሪ የመረጃ ዝውውር፡ የባንክ መረጃዎች ወደ ውጭ ሀገር (ለምሳሌ በCloud Server) ሲቀመጡ፣ መረጃው የሚቀመጥበት ሀገር አስተማማኝ የመረጃ ጥበቃ ህግ መኖሩ መረጋገጥ አለበት።
3. የመረጃ ባለቤቶች (የደንበኞች) መብቶች
አዋጁ ለደንበኞች የሚከተሉትን መብቶች ሰጥቷል፡
መረጃን የማግኘት መብት፡ ደንበኞች ስለእነሱ የተያዘው መረጃ ምን እንደሆነ የማወቅ እና ኮፒ የመጠየቅ መብት አላቸው።
መረጃን የማታም (የማስተካከያ) መብት፡ በስህተት የተመዘገበ የፋይናንስ መረጃ ካለ ደንበኛው እንዲስተካከል የመጠየቅ መብት አለው።
መረጃ እንዲሰረዝ የመጠየቅ መብት፡ የተወሰኑ ሁኔታዎች ሲሟሉ (እና ከሌሎች የባንክ ህጎች ጋር ካልተጋጨ) ደንበኞች መረጃቸው እንዲሰረዝ የመጠየቅ መብት አላቸው።
4. ቁጥጥር እና ቅጣት
የኢትዮጵያ ኮሙኒኬሽን ባለስልጣን (ወይም በህግ ስልጣን የሚሰጠው ሌላ አካል) አዋጁ መከበሩን ይቆጣጠራል። አዋጁን አለማክበር የሚከተሉትን ያስከትላል፡
ከፍተኛ የአስተዳደር ቅጣቶች (ገንዘብ)።
የተቋሙ ስም መበላሸት እና የደንበኞች እምነት ማጣት።
በደንበኞች ላይ ለሚደርስ ጉዳት የካሳ ክፍያ ግዴታ።
5. ማጠቃለያ
አዋጁን ማክበር ከህግ ተገዢነት ባለፈ ለተቋማቱ የንግድ ስኬት ትልቅ ፋይዳ አለው። የደንበኞቻቸውን መረጃ በአግባቡ የሚጠብቁ ባንኮች በዘመናዊው የዲጂታል ገበያ ተአማኒነትን ያተርፋሉ፤ እንዲሁም ከዓለም አቀፍ የፋይናንስ አሰራር ጋር በቀላሉ ለመቀናጀት ያስችላቸዋል።
Full Read
ትንተና፡ የፋይናንስ ተቋማት በአዋጅ ቁጥር 1321/2016 መሠረት ያለባቸው ግዴታዎች
1. መግቢያ
በኢትዮጵያ የባንክ እና የፊንቴክ አገልግሎቶች በከፍተኛ ፍጥነት ወደ ዲጂታል እየተቀየሩ ባለበት በዚህ ወቅት፣ የደንበኞችን የግል መረጃ መጠበቅ ከልምድ አሰራርነት ወደ ጥብቅ የህግ ግዴታነት ተሸጋግሯል። አዲሱ የግል መረጃ ጥበቃ አዋጅ ቁጥር 1321/2016 የፋይናንስ ተቋማት (ባንኮች፣ ጥቃቅን ፋይናንሶች እና ፊንቴክ ኩባንያዎች) መረጃን በሚይዙበት መንገድ ላይ ትልቅ ለውጥ አምጥቷል።
2. የፋይናንስ ተቋማት ዋና ዋና ግዴታዎች
በአዲሱ አዋጅ መሠረት የፋይናንስ ተቋማት "መረጃ ተቆጣጣሪዎች" ወይም "መረጃ አቀነባባሪዎች" ተብለው የሚፈረጁ ሲሆን፣ የሚከተሉት ዋና ዋና ግዴታዎች ይኖሩባቸዋል፡
ህጋዊነት እና ፈቃድ፡ ተቋማት መረጃን ለማሰባሰብ ህጋዊ መሠረት ሊኖራቸው ይገባል። ምንም እንኳን የባንክ ስራዎች በውል ስምምነት ላይ የተመሰረቱ ቢሆኑም፣ መረጃን ለሶስተኛ ወገን አሳልፎ ለመስጠት ወይም ለማስታወቂያ ስራ ለመጠቀም የደንበኛው ግልጽ ፈቃድ ያስፈልጋል።
የዓላማ ውስንነት፡ ለደንበኛ ማንነት ማረጋገጫ (KYC) የተሰበሰበ መረጃ፣ ከዛ ዓላማ ውጭ ለሆኑ ሌሎች ጉዳዮች ደንበኛው ሳይፈቅድ መጠቀም የተከለከለ ነው።
አስፈላጊ መረጃን ብቻ መሰብሰብ፡ ተቋማት ለአገልግሎታቸው የሚያስፈልገውን አነስተኛ መረጃ ብቻ የመሰብሰብ ግዴታ አለባቸው።
የመረጃ ደህንነት ጥበቃ፡ ባንኮች መረጃዎች እንዳይሰረቁ ወይም እንዳይባክኑ ጠንካራ የቴክኖሎጂ (Encryption) እና የአሰራር ጥበቃዎችን የማድረግ ህጋዊ ግዴታ አለባቸው።
ድንበር ተሻጋሪ የመረጃ ዝውውር፡ የባንክ መረጃዎች ወደ ውጭ ሀገር (ለምሳሌ በCloud Server) ሲቀመጡ፣ መረጃው የሚቀመጥበት ሀገር አስተማማኝ የመረጃ ጥበቃ ህግ መኖሩ መረጋገጥ አለበት።
3. የመረጃ ባለቤቶች (የደንበኞች) መብቶች
አዋጁ ለደንበኞች የሚከተሉትን መብቶች ሰጥቷል፡
መረጃን የማግኘት መብት፡ ደንበኞች ስለእነሱ የተያዘው መረጃ ምን እንደሆነ የማወቅ እና ኮፒ የመጠየቅ መብት አላቸው።
መረጃን የማታም (የማስተካከያ) መብት፡ በስህተት የተመዘገበ የፋይናንስ መረጃ ካለ ደንበኛው እንዲስተካከል የመጠየቅ መብት አለው።
መረጃ እንዲሰረዝ የመጠየቅ መብት፡ የተወሰኑ ሁኔታዎች ሲሟሉ (እና ከሌሎች የባንክ ህጎች ጋር ካልተጋጨ) ደንበኞች መረጃቸው እንዲሰረዝ የመጠየቅ መብት አላቸው።
4. ቁጥጥር እና ቅጣት
የኢትዮጵያ ኮሙኒኬሽን ባለስልጣን (ወይም በህግ ስልጣን የሚሰጠው ሌላ አካል) አዋጁ መከበሩን ይቆጣጠራል። አዋጁን አለማክበር የሚከተሉትን ያስከትላል፡
ከፍተኛ የአስተዳደር ቅጣቶች (ገንዘብ)።
የተቋሙ ስም መበላሸት እና የደንበኞች እምነት ማጣት።
በደንበኞች ላይ ለሚደርስ ጉዳት የካሳ ክፍያ ግዴታ።
5. ማጠቃለያ
አዋጁን ማክበር ከህግ ተገዢነት ባለፈ ለተቋማቱ የንግድ ስኬት ትልቅ ፋይዳ አለው። የደንበኞቻቸውን መረጃ በአግባቡ የሚጠብቁ ባንኮች በዘመናዊው የዲጂታል ገበያ ተአማኒነትን ያተርፋሉ፤ እንዲሁም ከዓለም አቀፍ የፋይናንስ አሰራር ጋር በቀላሉ ለመቀናጀት ያስችላቸዋል።
© 2026 TIMONA Intelligence Hub