מדריך עמידה בדרישות הסכמת עוגיות לחוק הגנת הנתונים של קניה 2019 עבור מפרסמים ב-2026

קניה אישרה את חוק הגנת הנתונים 2019 בנובמבר של אותה שנה, והפכה למדינה הראשונה במזרח אפריקה שחוקקה חוק פרטיות מקיף בסגנון GDPR. החוק הקים את Office of the Data Protection Commissioner (ODPC) כרגולטור עצמאי ועניק לו סמכויות אכיפה משמעותיות מהיום הראשון. בניגוד למשטרי פרטיות חדשים יותר רבים באזור, ה-ODPC לא נכנס לתפקידו בהדרגה — הוא היה אחד מרשויות הגנת הנתונים האפריקאיות הפעילות ביותר מאז 2021, הוציא הודעות עמידה, הטיל קנסות מנהליים ופרסם הנחיות מפורטות על קטגוריות עיבוד ספציפיות. עבור מפרסמים, מפעילי פינטק וספקי SaaS המשרתים תנועה מקנייתית — Nairobi לבדה היא ביתה של אחת מריכוזי התעסוקה הטכנולוגית האפריקאית הגדולות ביותר, וקניה היא מרכז אסטרטגי לשירותים דיגיטליים פאן-אפריקאיים — ה-DPA מייצג סיכון אכיפה אמיתי ופעיל. מדריך זה עובר על מה שהחוק דורש, כיצד ה-ODPC פירש אותו למעקב מקוון, וכיצד נראית עבודת הציות המעשית ב-2026.

חוק הגנת הנתונים 2019 בסקירה

ה-DPA הקנייתי בנוי סביב שמונה עקרונות ב-Section 25 המתואמים בקרבה ל-GDPR Article 5: חוקיות, הגבלת מטרה, מזעור נתונים, דיוק, הגבלת אחסון, שלמות, אחריות ותוספת קנייתית המאשרת במפורש את הזכות החוקתית לפרטיות. הבסיסים החוקיים ב-Section 30 משקפים את ה-GDPR: הסכמה, חוזה, חובה חוקית, אינטרסים חיוניים, אינטרס ציבורי ואינטרס לגיטימי. החוק חל על כל בקר נתונים או מעבד המעבד נתונים אישיים של נושאי נתונים הנמצאים בקניה, עם היקף טריטוריאלי-חוץ שמכיל מפרסמים מחוץ לחוף המשרתים מבקרים קנייתיים.

שתי תכונות מבניות של החוק חשובות מבצעית. ראשית, בקרים ומעבדים מעל סף מוגדרים חייבים להירשם ב-ODPC, והנציב היה בולט ברדיפת מפעילים לא רשומים. שנית, החוק דורש מינוי קצין הגנת נתונים כאשר היקף העיבוד חוצה סף מוגדרים — כולל כל עיבוד בקנה מידה גדול של נתונים אישיים, אשר מכיל את רוב המפרסמים הנתמכים בפרסום ומפעילי SaaS.

כיצד ה-DPA מתייחס לעוגיות ומעקב מקוון

ה-DPA אינו מכיל הוראה ספציפית לעוגיות; חובות ההסכמה והמידע נובעות מ-Sections 25, 30 ו-32 של החוק. ה-2024 Guidance Note של ה-ODPC על שיווק דיגיטלי ופרסום התנהגותי ביטא ציפיות ספציפיות למעקב מקוון שמפרסמים המשרתים תנועה קנייתית צריכים לעצב נגדם.

הסכמה אישורית לעוגיות לא חיוניות

עמדת ה-ODPC חד-משמעית: גלילה-כהסכמה ושימוש-מתמשך-כהסכמה אינם מספקים את תנאי הניתן-בחופשיות וחד-המשמעות של Section 32. נדרשת פעולה אישורית מפורשת לעוגיות לא חיוניות. הפרשנות עוקבת מקרוב אחר עמדת כוח המשימה לבאנרי עוגיות של EDPB.

פקדי קטגוריה גרנולריים

הנחיות 2024 מפורשות שבאנרים חייבים לאפשר למשתמש לקבל ולדחות קטגוריות באופן עצמאי. «קבל הכל» מאוגד ללא «דחה הכל» שווה ערך על אותה פני שטח מטופל כפגם, וכך גם תיוג שגוי של עוגיות אנליטיקה או שיווק כנחוצות בהחלט.

נתוני ילדים וכשירות הסכמה

ה-DPA מתייחס לנושאי נתונים מתחת לגיל 18 כילדים לצורכי הסכמה, עם הרשאת הורים הנדרשת לעיבוד. עבור מפרסמים שהקהלים שלהם כוללים קטינים קנייתיים, מסגרת הסכמת העוגיות זקוקה למסלול מודע-לגיל שאינו מניח כשירות מבוגר.

כללי העברה חוצת גבולות

Section 48 של החוק מסדיר העברות מחוץ לקניה. ההעברות יכולות להמשיך תחת אחד ממספר מנגנונים: ייעוד נאותות על ידי הנציב, אמצעי הגנה מתאימים (כולל סעיפי חוזה סטנדרטיים של ה-ODPC, שהונפקו ב-2023), הסכמה מפורשת, או חריגות ספציפיות. ה-ODPC היה מפורש יותר ויותר ש-«אנו משתמשים ב-Google Analytics» אינה תגובה מספיקה לפנייה בנוגע להעברה חוצת גבולות; המפרסם חייב להיות מסוגל לזהות את המנגנון הממשי המרשה את הזרם.

עמדת האכיפה של ה-ODPC

ה-ODPC היה הרגולטור הפעיל ביותר להגנת נתונים באפריקה מאז 2022, הן בנפח מוחלט של מקרים והן בבולטות פעולותיו. שלושה דפוסים מעצבים את גישת האכיפה שלו.

קנסות ראשוניים גלויים

ה-ODPC הטיל קנסות מנהליים על כמה מפעילי פינטק, הלוואות דיגיטליות ולשכות אשראי החל מ-2022, מקים תקדים לתרופות כספיות תחת החוק. התקשורת סביב מקרים אלה הייתה ציבורית במכוון, המסמנת שהאכיפה אמיתית ולא רק נומינלית.

התמקדות ענפית בפינטק ואשראי

מגזר הפינטק והאשראי הדיגיטלי — שהוא גדול באופן יוצא דופן בקניה ביחס לכלכלה הכוללת של המדינה — קיבל את ההתמקדות המרוכזת ביותר של ה-ODPC. עבור מפרסמים המפעילים עסקים הנתמכים בפרסום המכוונים למשתמשי פינטק, האווירה הרגולטורית סביב הקהל טעונה יותר ממה שהיתה בשווקים דומים רבים.

תיאום עם רגולטורים אזוריים

ה-ODPC משתתף ב-African Network of Data Protection Authorities ומקיים קשרי עבודה עם ה-EDPB ו-NDPC הניגרי. חקירות חוצות גבולות הכוללות תנועה קנייתית ואירופאית מטופלות באמצעות נהלים מתואמים.

רשימת בדיקת ציות מעשית

שש שאלות קונקרטיות לענות עליהן עבור כל באנר עוגיות המשרת תנועה קנייתית.

מקומה של קניה במסגרת סמכות שיפוט מרובה

קניה היא אחת מארבעת משטרי הגנת הנתונים האפריקאיים בעלי ההשלכות התפעוליות הגדולות ביותר — לצד ניגריה, דרום אפריקה ומסגרת מצרים המתפתחת — וקצב ההתחלה שלה ב-2019 תורגם לעמדת האכיפה הבוגרת ביותר ביבשת. עבור מפרסמים הבונים לקראת פעולות פאן-אפריקאיות, ה-DPA הקנייתי הוא התבנית de facto שבה השתמשו חוקים אזוריים חדשים יותר: דרישות רישום, DPOs חובה מעל סף, בסיסים חוקיים בסגנון GDPR וכללי העברה חוצות גבולות המשקפים את Chapter V של GDPR עם התאמות אזוריות. עבודת הציות עבור קניה מקבילה לתקן האירופי עם שלוש תוספות משמעותיות: רישום ODPC, כשירות הסכמה מודעת לגיל וסעיפי החוזה הסטנדרטיים הספציפיים של ה-ODPC להעברות חוצות גבולות. פלטפורמת ניהול הסכמה הבנויה לפי נורמות אירופאיות מטפלת ברוב העבודה; תוספות קניה הן שכבות תפעוליות מעל, לא שיבניות מחדש ארכיטקטוניות.

← בdelays delays קרא הכל →