Kenian tietosuojalaki 2019 – evästeiden suostumusten vaatimustenmukaisuusopas julkaisijoille vuonna 2026

Kenya hyväksyi tietosuojalain 2019 marraskuussa sinä vuonna, mikä teki siitä ensimmäisen Itä-Afrikan maan, joka sääti kattavan GDPR-tyylisen tietosuojalain. Laki perusti Office of the Data Protection Commissioner (ODPC) itsenäiseksi viranomaiseksi ja antoi sille merkittävät täytäntöönpanovaltuudet ensimmäisestä päivästä lähtien. Toisin kuin monet uudemmat alueen tietosuojajärjestelmät, ODPC ei ole totutellut rooliinsa varovaisesti — se on ollut yksi aktiivisimmista Afrikan tietosuojaviranomaisista vuodesta 2021 alkaen, antamalla vaatimustenmukaisuusilmoituksia, määräämällä hallinnollisia sakkoja ja julkaisemalla yksityiskohtaisia ohjeita tietyistä käsittelykategorioista. Julkaisijoille, fintech-operaattoreille ja SaaS-toimittajille, jotka palvelevat Kenian liikennettä — Nairobi yksinään on yksi suurimmista Afrikan teknologiatyöpaikkojen keskittymistä, ja Kenya on pan-Afrikan digitaalisten palvelujen strateginen keskus — DPA edustaa todellista ja aktiivista täytäntöönpanoriskiä. Tämä opas käy läpi, mitä laki vaatii, miten ODPC on tulkinnut sitä verkkoseurannan osalta ja miltä käytännön vaatimustenmukaisuustyö näyttää vuonna 2026.

Tietosuojalaki 2019 lyhyesti

Kenian DPA rakentuu kahdeksalle periaatteelle Section 25:ssä, jotka ovat tiiviisti linjassa GDPR Article 5:n kanssa: lainmukaisuus, käyttötarkoituksen rajoitus, tietojen minimointi, tarkkuus, säilytyksen rajoitus, eheys, vastuullisuus ja kenialainen lisäys, joka nimenomaisesti vahvistaa perustuslaillisen oikeuden yksityisyyteen. Section 30:n oikeudelliset perusteet heijastavat GDPRia: suostumus, sopimus, lakisääteinen velvoite, elintärkeät edut, yleinen etu ja oikeutettu etu. Laki koskee kaikkia rekisterinpitäjiä tai käsittelijöitä, jotka käsittelevät Keniassa olevien rekisteröityjen henkilötietoja, ekstraterritoriaalisen ulottuvuuden ansiosta, joka kattaa Kenian vierailijoita palvelevat ulkomaiset julkaisijat.

Lain kaksi rakenteellista ominaisuutta ovat operatiivisesti tärkeitä. Ensinnäkin, määritettyjen kynnysarvojen ylittävien rekisterinpitäjien ja käsittelijöiden on rekisteröidyttävä ODPC:lle, ja komissaari on ollut näkyvä rekisteröimättömien toimijoiden tavoittelussa. Toiseksi, laki edellyttää tietosuojavastaavan nimittämistä, kun käsittelyn laajuus ylittää määritellyt kynnysarvot — mukaan lukien henkilötietojen laajamittainen käsittely, joka kattaa useimmat mainosrahoitteiset julkaisijat ja SaaS-operaattorit.

Miten DPA kohtelee evästeitä ja verkkoseurantaa

DPA ei sisällä evästespesifistä säännöstä; suostumus- ja tietovelvoitteet johtuvat lain Sections 25, 30 ja 32:sta. ODPC:n 2024 Guidance Note digitaalimarkkinoinnista ja käyttäytymisperusteisesta mainonnasta ilmaisi digitaaliseurantaan kohdistuvat erityiset odotukset, joita vastaan Kenian liikennettä palvelevien julkaisijoiden on suunniteltava.

Vahvistava suostumus ei-välttämättömille evästeille

ODPC:n kanta on yksiselitteinen: vierittäminen suostumuksena ja jatkuva käyttö suostumuksena eivät täytä Section 32:n vapaaehtoisen ja yksiselitteisen suostumuksen edellytyksiä. Ei-välttämättömille evästeille vaaditaan nimenomainen vahvistava toimi. Tulkinta seuraa tiiviisti EDPB:n evästebannerityöryhmän kantaa.

Tarkat kategoriakontrollit

Vuoden 2024 ohjeistus on selkeä, että bannereiden on sallittava käyttäjän hyväksyä ja hylätä kategoriat itsenäisesti. Niputettu "Hyväksy kaikki" ilman vastaavaa "Hylkää kaikki" samalla pinnalla katsotaan virheeksi, kuten myös analytiikka- tai markkinointilaisten evästeiden virheellinen merkintä ehdottoman välttämättömiksi.

Lasten tiedot ja suostumuksen oikeustoimikelpoisuus

DPA kohtelee alle 18-vuotiaita rekisteröityjä suostumuksen kannalta lapsina, joiden käsittelyyn tarvitaan vanhemman lupa. Julkaisijoille, joiden yleisöihin kuuluu kenialaisia alaikäisiä, evästeiden suostumuskehys tarvitsee ikätietoisen polun, joka ei oleta aikuisen kapasiteettia.

Rajat ylittävien siirtojen säännöt

Lain Section 48 hallitsee Kenian ulkopuolelle tapahtuvia siirtoja. Siirrot voivat edetä jonkin useista mekanismeista alaisuudessa: komissaarin riittävyystoteamus, asianmukaiset suojatoimenpiteet (mukaan lukien ODPC:n vakiosopimuslausekkeet, annettu 2023), nimenomainen suostumus tai erityiset poikkeukset. ODPC on yhä selkeämmin todennut, että "käytämme Google Analytics" ei ole riittävä vastaus rajat ylittävää siirtoa koskevaan tiedusteluun; julkaisijan on kyettävä tunnistamaan todellinen mekanismi, joka valtuuttaa virran.

ODPC:n täytäntöönpanoasenne

ODPC on ollut aktiivisin Afrikan tietosuojavalvoja vuodesta 2022, sekä tapausten absoluuttisessa määrässä että toimiensa näkyvyydessä. Kolme mallia muovaavat sen täytäntöönpanolähestymistapaa.

Näkyvät varhaiset sakot

ODPC määräsi hallinnollisia sakkoja useille fintech-, digitaalisen luoton ja luottotoimiston operaattoreille vuodesta 2022 alkaen, luoden ennakkotapauksen rahallikorvauksia varten lain nojalla. Näitä tapauksia ympäröivät tiedotteet ovat olleet tarkoituksellisesti julkisia, viestien että täytäntöönpano on todellista eikä vain nimellisesti olemassa.

Toimialakohtainen fokus fintech:iin ja luottoon

Fintech- ja digitaalisen luottosektori — joka on Keniassa epätavallisen suuri suhteessa maan kokonaistalouteen — on saanut eniten ODPC:n kohdistettua huomiota. Julkaisijoille, jotka operoivat mainosrahoitteisia liiketoimintoja fintech-käyttäjiin kohdentaen, yleisöä ympäröivä sääntely-ilmapiiri on lataantuneempi kuin monissa vertailukelpoisissa markkinoissa.

Alueellisten valvojien kanssa koordinointi

ODPC osallistuu African Network of Data Protection Authorities -toimintaan ja ylläpitää toimivia suhteita EDPB:n ja Nigerian NDPC:n kanssa. Kenian ja Euroopan liikennettä koskevia rajat ylittäviä tutkimuksia käsitellään koordinoitujen menettelyjen kautta.

Käytännön vaatimustenmukaisuuden tarkistuslista

Kuusi konkreettista kysymystä, joihin on vastattava minkä tahansa Kenian liikennettä palvelevan evästebannerin osalta.

Kenian rooli monijurisdiktioisessa kokonaisuudessa

Kenya on yksi neljästä operatiivisesti tärkeimmästä Afrikan tietosuojajärjestelmästä — Nigerian, Etelä-Afrikan ja Egyptin kehittyvän kehyksen rinnalla — ja sen 2019-etumatka on kääntynyt kypsimmäksi täytäntöönpanoasenneksi mantereella. Julkaisijoille, jotka rakentavat kohti pan-Afrikan toimintoja, Kenian DPA on tosiasiallinen malli, jota uudemmat alueelliset lait ovat käyttäneet: rekisteröintivaatimukset, pakolliset DPOt kynnysarvojen yli, GDPR-tyylinen oikeudelliset perusteet ja rajat ylittävien siirtojen säännöt, jotka heijastavat GDPR:n Chapter V:tä alueellisilla mukautuksilla. Kenian vaatimustenmukaisuustyö on rinnakkainen eurooppalaisen standardin kanssa kolmella merkittävällä lisäyksellä: ODPC-rekisteröinti, ikätietoinen suostumuksen oikeustoimikelpoisuus ja ODPC:n erityiset vakiosopimuslausekkeet rajat ylittäviä siirtoja varten. Eurooppalaisiin normeihin rakennettu suostumuksen hallintaympäristö hoitaa suurimman osan työstä; Kenian lisäykset ovat operatiivisia kerroksia päälle, ei arkkitehtuurisia uudelleenrakennuksia.

← Blogi Lue kaikki →