Vejledning til cookie-samtykkeoverholdelse i henhold til Kenya Data Protection Act 2019 for udgivere i 2026

Kenya vedtog Kenya Data Protection Act 2019 i November det år og blev det første østafrikanske land til at vedtage en omfattende GDPR-lignende privatlivsstatut. Loven oprettede Office of the Data Protection Commissioner (ODPC) som et selvstændigt tilsynsorgan og gav det meningsfulde hånhævelsesføjelser fra dag ét. I modsætning til mange nyere privatlivsregimer i regionen har ODPC ikke taget det roligt med sin rolle — det har været en af de mest aktive afrikanske databeskyttelsesmyndigheder siden 2021 og har udstedt overholdelsesvarsler, pålagt administrative bøder og offentliggjort detaljeret vejledning om specifikke behandlingskategorier. For udgivere, fintech-operatorer og SaaS-leverandører, der betjener kenyansk trafik — Nairobi alene er hjemsted for en af de største koncentrationer af afrikansk teknologibeskowæftigelse, og Kenya er et strategisk knudepunkt for panafrikanske digitale tjenester — repræsenterer DPA en reel og aktiv hånhævelsesrisiko. Denne vejledning gennemgår, hvad loven kræver, hvordan ODPC har fortolket den til onlinesporing, og hvordan det praktiske overholdelsesarbejde ser ud i 2026.

Kenya Data Protection Act 2019 i Oversigt

Den kenyanske DPA er struktureret omkring otte principper i Section 25, der er tæt afstemt med GDPR Article 5: lovlighed, formålsbegrænsning, dataminimering, nøjagtighed, opbevaringsbegrænsning, integritet, ansvarlighed og et kenyansk tillæg, der udtrykkeligt bekæfter den forfatningsmæssige ret til privatliv. De lovlige grundlag i Section 30 afspejler GDPR: samtykke, kontrakt, retlig forpligtelse, vitale interesser, offentlig interesse og legitim interesse. Loven gælder for enhver dataansvarlig eller databehandler, der behandler personoplysninger om registrerede beliggende i Kenya, med ekstraterritorial rækkevidde, der dækker offshore-udgivere, der betjener kenyanske besøgende.

To strukturelle træk ved loven er operativt vigtige. For det første skal ansvarlige og behandlere over specifikke tærskler registrere sig hos ODPC, og kommissæren har været synlig i forfølgelsen af uregistrerede operatører. For det andet kræver loven udnævnelse af en databeskyttelseskonsulent, når behandlingens omfang krydser definerede tærskler — herunder enhver storskala behandling af personoplysninger, der dækker de fleste reklamestøttede udgivere og SaaS-operatører.

Hvordan DPA Behandler Cookies og Online Sporing

DPA indeholder ikke en cookie-specifik bestemmelse; samtykke- og informationsforpligtelserne strømmer fra Sections 25, 30 og 32 i loven. ODPC’s 2024 Guidance Note om Digital Markedsføring og Adfærdsbaseret Reklame formulerede specifikke forventninger til online sporing, som udgivere, der betjener kenyansk trafik, skal designe imod.

Bekæftende samtykke til ikke-nødvendige cookies

ODPC’s holdning er utvetydig: scroll-som-samtykke og fortsat-brug-som-samtykke opfylder ikke de frivilligt afgivne og utvetydige krav i Section 32. Der kræves en udtrykkelig bekæftende handling for ikke-nødvendige cookies. Fortolkningen følger tæt EDPB Cookie Banner Taskforces holdning.

Granulære kategorikontroller

2024-vejledningen er eksplicit om, at bannere skal give brugeren mulighed for at acceptere og afvise kategorier uafhængigt. Samlet “Accepter alle” uden et tilsvarende “Afvis alle” på samme overflade behandles som en defekt, ligesom forkert mærkning af analytiske eller marketingcookies som strengt nødvendige.

Børns data og samtykkekompetence

DPA behandler registrerede under 18 år som børn til samtykkeformål med forældrenes godkendelse påkrævet til behandling. For udgivere, hvis målgruppe inkluderer kenyanske mindrårige, skal cookie-samtykkerammerne have en aldersbvidst sti, der ikke antager voksenkapacitet.

Regler for grænseøverskridende overførsler

Section 48 i loven regulerer overførsler uden for Kenya. Overførsler kan gennemføres under en af flere mekanismer: tilstrækkelighedsbeslutning fra kommissæren, passende sikkerhedsforanstaltninger (herunder ODPC’s standardkontraktsklausuler udstedt i 2023), udtrykkelig samtykke eller specifikke undtagelser. ODPC har været stadig mere eksplicit om, at “vi bruger Google Analytics” ikke er et tilstrækkeligt svar på en grænseøverskridende overførselforespørgsel; udgiveren skal kunne identificere den faktiske mekanisme, der autoriserer flowet.

ODPC’s Hånhævelsesposition

ODPC har været den mest aktive afrikanske databeskyttelsesregulator siden 2022, både i absolut sagmængde og i synligheden af sine handlinger. Tre mønstre former dens hånhævelsestilgang.

Synlige tidlige bøder

ODPC pålagde administrative bøder på adskillige fintech-, digitallåne- og kreditbureauoperatører fra 2022 og etablerede præcedens for monetære afhjælpninger under loven. Kommunikationerne omkring disse sager har været bevidst offentlige og signaleret, at hånhævelse er reel og ikke blot nominel.

Sektorielt fokus på fintech og kredit

Fintech- og digitalkreditsektoren — som er usædvanligt stor i Kenya i forhold til landets samlede økonomi — har modtaget den mest koncentrerede ODPC-opmærksomhed. For udgivere, der driver reklamestøttede virksomheder rettet mod fintech-brugere, er det regulatoriske klima omkring målgruppen mere ladet, end det ville være på mange sammenligningelige markeder.

Koordinering med regionale regulatorer

ODPC deltager i African Network of Data Protection Authorities og opretholder arbejdsrelationer med EDPB og den nigerianske NDPC. Grænseøverskridende undersøgelser, der involverer kenyansk og europæisk trafik, håndteres gennem koordinerede procedurer.

En Praktisk Overholdelsescheckliste

Seks konkrete spørgsmål at besvare for ethvert cookie-banner, der betjener kenyansk trafik.

Hvor Kenya Passer ind i en Multi-Jurisdiktions-Stack

Kenya er et af de fire mest operativt vigtige afrikanske databeskyttelsesregimer — sammen med Nigeria, Sydafrika og Egyptens fremvoksende ramme — og dens forspring fra 2019 har oversat til den mest modne hånhævelsesposition på kontinentet. For udgivere, der bygger mod panafrikanske operationer, er den kenyanske DPA den de facto skabelon, som nyere regionale love har brugt: registreringskrav, obligatoriske DPO’er over tærskler, GDPR-lignende lovlige grundlag og regler for grænseøverskridende overførsler, der afspejler Chapter V i GDPR med regionale tilpasninger. Overholdelsesarbejdet for Kenya er parallelt med den europæiske standard med tre meningsfulde tilføjelser: ODPC-registrering, aldersbvidst samtykkekompetence og ODPC’s specifikke standardkontraktsklausuler til grænseøverskridende overførsler. En platform til samtykkestyring bygget til europæiske normer håndterer det meste af arbejdet; de kenyanske tilføjelser er driftsmæssige lag oven på, ikke arkitektoniske genopbygninger.

← Blog Læs alt →