Průvodce souladu se souhlasem s cookies dle Kenya Data Protection Act 2019 pro vydavatele v roce 2026

Keňa přijala Kenya Data Protection Act 2019 v November téhož roku jako první východoafrická země, která přijala komplexní zákon o soukromí ve stylu GDPR. Zákon zřídil Office of the Data Protection Commissioner (ODPC) jako samostatný regulační orgán a od prvního dne mu udělil smysluplné pravomoci k vymáhání. Na rozdíl od mnoha novějších režimů ochrany soukromí v regionu ODPC do své role nevstoupil pozvolna — od roku 2021 je jedním z nejaktivnějších afrických orgánů ochrany osobních údajů, vydává oznámení o souladu, ukládá administrativní pokuty a zveřejňuje podrobné pokyny ke konkrétním kategoriím zpracování. Pro vydavatele, operátory fintech a dodavatele SaaS obsluhující kenský provoz — Nairobi samo o sobě hostí jednu z největších koncentrací afrického technologického zaměstnání a Keňa je strategickým centrem pro panasfrické digitální služby — DPA představuje skutečné a aktivní riziko vymáhání. Tento průvodce popisuje, co zákon vyžaduje, jak jej ODPC interpretoval pro online sledování a jak vypadá praktická práce na souladu v roce 2026.

Kenya Data Protection Act 2019 v Přehledu

Kenský DPA je strukturován kolem osmi principů v Section 25, které jsou v souladu s GDPR Article 5: zákonnost, omezení účelu, minimalizace dat, přesnost, omezení uchovávání, integrita, odpovědnost a kenský doplněk výslovně potvrzující ústavní právo na soukromí. Zákonné důvody v Section 30 odrážejí GDPR: souhlas, smlouva, právní povinnost, životně důležité zájmy, veřejný zájem a oprávněný zájem. Zákon se vztahuje na jakéhokoli správce nebo zpracovatele dat, který zpracovává osobní údaje subjektů údajů nacházejících se v Keni, s extrateritoriálním dosahem zahrnujícím offshore vydavatele obsluhující kenské návštěvníky.

Dva strukturální rysy zákona jsou operativně důležité. Za prvé, správci a zpracovatelé nad stanovenými prahovými hodnotami se musí zaregistrovat u ODPC a komisař byl viditelný při pronásledování neregistrovaných provozovatelů. Za druhé, zákon vyžaduje jmenování pověřence pro ochranu osobních údajů, když rozsah zpracování překročí definované prahové hodnoty — včetně jakéhokoli rozsáhlého zpracování osobních údajů, které zahrnuje většinu vydavatelů podporovaných reklamou a operátorů SaaS.

Jak DPA Nakládá s Cookies a Online Sledováním

DPA neobsahuje ustanovení specifické pro cookies; povinnosti týkající se souhlasu a informací vycházejí z Sections 25, 30 a 32 zákona. 2024 Guidance Note ODPC o digitálním marketingu a behaviorální reklamě formuloval konkrétní očekávání pro online sledování, vůči nimž musí vydavatelé obsluhující kenský provoz navrhovat.

Kladný souhlas pro nezbytné cookies

Postoj ODPC je jednoznačný: souhlas posunutím a souhlas pokračujícím používáním nesplňují požadavky svobodně uděleného a jednoznačného souhlasu dle Section 32. Pro cookies jiné než nezbytné je vyžadována výslovná kladná akce. Výklad je v souladu s postojem EDPB Cookie Banner Taskforce.

Granulární kategoriální ovládací prvky

Pokyny z roku 2024 výslovně uvádějí, že bannery musí uživateli umožnit přijímat a odmítat kategorie nezávisle. Sdružené „Přijmout vše" bez ekvivalentního „Odmítnout vše" na stejném povrchu je považováno za vadu, stejně jako nesprávné označení analytických nebo marketingových cookies jako nezbytně nutných.

Údaje o dětech a způsobilost k souhlasu

DPA považuje subjekty údajů mladší 18 let za děti pro účely souhlasu, přičemž ke zpracování je vyžadován souhlas rodičů. Pro vydavatele, jejichž publikum zahrnuje kenské nezletilé, potřebuje rámec souhlasu s cookies cestu zohledňující věk, která nepředpokládá způsobilost dospělého.

Pravidla pro přeshraniční přenosy

Section 48 zákona upravuje přenosy mimo Keňu. Přenosy mohou probíhat pod jedním z několika mechanismů: rozhodnutí o přiměřenosti komisaře, vhodné záruky (včetně standardních smluvních doložek ODPC vydaných v roce 2023), výslovný souhlas nebo specifické výjimky. ODPC byl stále výslovnější v tom, že „používáme Google Analytics" není dostatečnou odpovědí na dotaz ohledně přeshraničního přenosu; vydavatel musí být schopen identifikovat skutečný mechanismus, který tok povoluje.

Postoj ODPC k Vymáhání

ODPC je od roku 2022 nejaktivnějším africkým regulátorem ochrany osobních údajů, a to jak z hlediska absolutního objemu případů, tak viditelnosti svých akcí. Tři vzorce formují jeho přístup k vymáhání.

Viditelné časné pokuty

ODPC uložil administrativní pokuty několika provozovatelům fintech, digitálních půjček a úvěrových kanceláří od roku 2022, čímž stanovil precedens pro peněžní opravné prostředky podle zákona. Komunikace kolem těchto případů byla záměrně veřejná a naznačovala, že vymáhání je skutečné a ne jen formální.

Sektorové zaměření na fintech a úvěry

Odvětví fintech a digitálních úvěrů — které je v Keni neobvykle velké ve vztahu k celkové ekonomice země — získalo nejkoncentrovanější pozornost ODPC. Pro vydavatele provozující reklamu podporované podniky zaměřené na uživatele fintech je regulační atmosféra kolem publika nabitější, než by byla na mnoha srovnatelných trzích.

Koordinace s regionálními regulátory

ODPC se účastní African Network of Data Protection Authorities a udržuje pracovní vztahy s EDPB a nigerijským NDPC. Přeshraniční vyšetřování zahrnující kenský a evropský provoz jsou řešena koordinovanými postupy.

Praktický Kontrolní Seznam pro Soulad

Šest konkrétních otázek, na které je třeba odpovědět pro jakýkoli banner cookies obsluhující kenský provoz.

Kde Keňa Patří v Multijurisdikčním Zásobníku

Keňa je jedním ze čtyř nejoperativně důsledných afrických režimů ochrany osobních údajů — spolu s Nigérií, Jihoafrickou republikou a rozvíjejícím se rámcem Egypta — a její předstih z roku 2019 se přeložil do nejvyspělejšího postoje k vymáhání na kontinentu. Pro vydavatele budující panasfrické operace je kenský DPA faktickou šablonou, kterou novější regionální zákony použily: požadavky na registraci, povinné DPO nad prahovými hodnotami, zákonné důvody ve stylu GDPR a pravidla pro přeshraniční přenosy odrážející Chapter V GDPR s regionálními adaptacemi. Práce na souladu pro Keňu je paralelní s evropským standardem se třemi smysluplnými doplňky: registrace u ODPC, způsobilost k souhlasu zohledňující věk a specifické standardní smluvní doložky ODPC pro přeshraniční přenosy. Platforma pro správu souhlasu postavená na evropských normách zvládá většinu práce; kenské doplňky jsou operativní vrstvy navrch, nikoli architektonické přestavby.

← Blog Číst vše →