Кіраўніцтва па адпаведнасці згоды на cookie згодна з Законам Кеніі пра абарону дадзеных 2019 для выдаўцоў у 2026 годзе

Кенія прыняла Закон пра абарону дадзеных 2019 у лістападзе таго года, зрабіўшы яе першай усходнеафрыканскай краінай, якая прыняла ўсёабдымны статут прыватнасці ў стылі GDPR. Закон стварыў Офіс камісара па абароне дадзеных (ODPC) як асобны рэгулятар і даў яму значныя праваахоўныя паўнамоцтвы з першага дня. У адрозненне ад многіх навейшых рэжымаў прыватнасці ў рэгіёне, ODPC не паступова ўваходзіў у сваю ролю — ён быў адным з самых актыўных афрыканскіх органаў абароны дадзеных з 2021 года, выдаючы паведамленні аб адпаведнасці, накладаючы адміністрацыйныя штрафы і публікуючы падрабязныя рэкамендацыі па канкрэтных катэгорыях апрацоўкі. Для выдаўцоў, фінтэх-аператараў і SaaS-пастаўшчыкоў, якія абслугоўваюць кенійскі трафік — толькі Найробі з'яўляецца домам адной з самых вялікіх канцэнтрацый афрыканскай тэхналагічнай занятасці, і Кенія — стратэгічны хаб для пан-афрыканскіх лічбавых паслуг — DPA уяўляе рэальную і актыўную праваахоўную рызыку. Гэта кіраўніцтва праводзіць праз тое, што патрабуе Закон, як ODPC інтэрпрэтаваў яго для анлайн-адсочвання, і як выглядае практычная праца адпаведнасці ў 2026 годзе.

Закон пра абарону дадзеных 2019 у агульных рысах

Кенійскі DPA структураваны вакол васьмі прынцыпаў у Раздзеле 25, якія блізка адпавядаюць Артыкулу 5 GDPR: законнасць, абмежаванне мэты, мінімізацыя дадзеных, дакладнасць, абмежаванне захоўвання, цэласнасць, падсправаздачнасць і кенійскае дадатак, якое яўна сцвярджае канстытуцыйнае права на прыватнасць. Прававыя падставы ў Раздзеле 30 адлюстроўваюць GDPR: згода, кантракт, прававы абавязак, жыццёвыя інтарэсы, грамадскі інтарэс і законны інтарэс. Закон прымяняецца да любога кантролера ці апрацоўшчыка дадзеных, які апрацоўвае персанальныя дадзеныя суб'ектаў дадзеных, размешчаных у Кеніі, з экстэрытарыяльным ахопам, які захоплівае афшорных выдаўцоў, якія абслугоўваюць кенійскіх наведвальнікаў.

Дзве структурныя асаблівасці Закона маюць аперацыйнае значэнне. Па-першае, кантролеры і апрацоўшчыкі вышэй вызначаных парогаў павінны зарэгістравацца ў ODPC, і Камісар быў прыкметным наконт праследавання незарэгістраваных аператараў. Па-другое, Закон патрабуе прызначэння афіцэра па абароне дадзеных там, дзе аб'ём апрацоўкі перасякае вызначаныя парогі — уключаючы любую буйнамаштабную апрацоўку персанальных дадзеных, якая захоплівае большасць выдаўцоў з рэкламнай падтрымкай і SaaS-аператараў.

Як DPA ставіцца да cookie і анлайн-адсочвання

DPA не змяшчае cookie-спецыфічнага палажэння; абавязацельствы згоды і інфармацыі вынікаюць з Раздзелаў 25, 30 і 32 Закона. Рэкамендацыя ODPC 2024 года па лічбавым маркетынгу і паводніцкай рэкламе сфармулявала канкрэтныя чаканні наконт анлайн-адсочвання, супраць якіх выдаўцы, якія абслугоўваюць кенійскі трафік, павінны праектаваць.

Пацвярджальная згода для неістотных cookie

Пазіцыя ODPC адназначная: пракрутка-як-згода і працяг-выкарыстання-як-згода не задавальняюць прынцыпы свабодна-дадзенай і адназначнай Раздзела 32. Яўнае пацвярджальнае дзеянне патрабуецца для неістотных cookie. Інтэрпрэтацыя блізка адсочвае пазіцыю Мэтавай групы EDPB па банерах cookie.

Гранулярныя элементы кіравання катэгорыямі

Рэкамендацыя 2024 года яўная, што банеры павінны дазваляць карыстальніку прымаць і адхіляць катэгорыі незалежна. Аб'яднанае «Прыняць усё» без эквівалентнага «Адхіліць усё» на той жа паверхні разглядаецца як дэфект, як і няправільнае маркіраванне аналітычных ці маркетынгавых cookie як строга неабходных.

Дадзеныя дзяцей і дзеяздольнасць згоды

DPA ставіцца да суб'ектаў дадзеных маладзей за 18 гадоў як да дзяцей для мэт згоды, з бацькоўскім дазволам, патрабуемым для апрацоўкі. Для выдаўцоў, чыя аўдыторыя ўключае кенійскіх непаўналетніх, база згоды на cookie патрабуе ўзроставага шляху, які не мяркуе дарослую дзеяздольнасць.

Правілы трансгранічнай перадачы

Раздзел 48 Закона рэгулюе перадачы за межы Кеніі. Перадачы могуць працягвацца па адным з некалькіх механізмаў: прызначэнне адэкватнасці Камісарам, адпаведныя гарантыі (уключаючы стандартныя дагаворныя пункты ODPC, выдадзеныя ў 2023 годзе), яўная згода ці канкрэтныя дэрагацыі. ODPC быў усё больш яўным, што «мы выкарыстоўваем Google Analytics» не з'яўляецца дастатковым адказам на запыт пра трансгранічную перадачу; выдавец павінен мець магчымасць ідэнтыфікаваць фактычны механізм, які аўтарызуе паток.

Праваахоўная пазіцыя ODPC

ODPC быў самым актыўным афрыканскім рэгулятарам абароны дадзеных з 2022 года, як у абсалютным аб'ёме спраў, так і ў прыкметнасці сваіх дзеянняў. Тры патэрны фарміруюць яго праваахоўны падыход.

Прыкметныя раннія штрафы

ODPC наклаў адміністрацыйныя штрафы на некалькі фінтэх, лічбавых крэдытных і крэдытных бюро аператараў, пачынаючы з 2022 года, усталяваўшы прэцэдэнт для грашовых сродкаў абароны па Законе. Камунікацыі вакол гэтых спраў былі наўмысна публічнымі, сігналізуючы, што праваахова рэальная, а не толькі намінальная.

Сектаральны фокус на фінтэху і крэдыце

Сектар фінтэху і лічбавага крэдыту — які незвычайна вялікі ў Кеніі адносна агульнай эканомікі краіны — атрымаў самую канцэнтраваную ўвагу ODPC. Для выдаўцоў, якія вядуць бізнес з рэкламнай падтрымкай, накіраваны на фінтэх-карыстальнікаў, рэгулятарная атмасфера вакол аўдыторыі больш напружаная, чым яна была б на многіх параўнальных рынках.

Каардынацыя з рэгіянальнымі рэгулятарамі

ODPC удзельнічае ў Афрыканскай сетцы органаў абароны дадзеных і падтрымлівае працоўныя адносіны з EDPB і нігерыйскім NDPC. Трансгранічныя расследаванні, якія ўключаюць кенійскі і еўрапейскі трафік, апрацоўваюцца праз каардынаваныя працэдуры.

Практычны чэк-ліст адпаведнасці

Шесць канкрэтных пытанняў, на якія трэба адказаць для любога банера cookie, які абслугоўвае кенійскі трафік.

Дзе Кенія ўпісваецца ў шматюрысдыкцыйны стэк

Кенія — адзін з чатырох самых аперацыйна значных афрыканскіх рэжымаў абароны дадзеных — разам з Нігерыяй, Паўднёвай Афрыкай і ўзнікальнай базай Егіпта — і яе перавага ў 2019 годзе перавялася ў самую спелую праваахоўную пазіцыю на кантыненце. Для выдаўцоў, якія будуюць да пан-афрыканскіх аперацый, кенійскі DPA з'яўляецца дэ-факта шаблонам, які навейшыя рэгіянальныя законы выкарысталі: патрабаванні рэгістрацыі, абавязковыя DPO вышэй парогаў, прававыя падставы ў стылі GDPR і правілы трансгранічнай перадачы, якія адлюстроўваюць Раздзел V GDPR з рэгіянальнымі адаптацыямі. Праца адпаведнасці для Кеніі паралельна еўрапейскаму стандарту з трыма значнымі дадаткамі: рэгістрацыя ODPC, узроставая дзеяздольнасць згоды і канкрэтныя стандартныя дагаворныя пункты ODPC для трансгранічных перадач. Платформа кіравання згодай, пабудаваная да еўрапейскіх нормаў, апрацоўвае большую частку працы; кенійскія дадаткі — гэта аперацыйныя слаі зверху, а не архітэктурныя перабудовы.

← Блог Чытаць усё →