Vodič za usklađenost s pristankom na kolačiće prema kenijskom Zakonu o zaštiti podataka iz 2019. za izdavače u 2026.

Kenija je donijela Zakon o zaštiti podataka 2019. u studenom te godine, čime je postala prva zemlja istočne Afrike koja je donijela sveobuhvatan statut o privatnosti u stilu GDPR-a. Zakon je uspostavio Office of the Data Protection Commissioner (ODPC) kao samostalni regulatorno tijelo i od prvog mu je dana dao smislene ovlasti za provedbu. Za razliku od mnogih novijih režima privatnosti u regiji, ODPC se nije polako uveo u svoju ulogu — bio je jedna od najaktivnijih afričkih vlasti za zaštitu podataka od 2021., izdavajući obavijesti o usklađenosti, izričući administrativne kazne i objavljujući detaljne smjernice o specifičnim kategorijama obrade. Za izdavače, operatere fintech-a i SaaS prodavače koji služe kenijanskome prometu — Nairobi sam je dom jedne od najvećih koncentracija afričkog tehnološkog zapošljavanja, a Kenija je strateško središte za panafričke digitalne usluge — DPA predstavlja stvarni i aktivni rizik od provedbe. Ovaj vodič prolazi kroz ono što Zakon zahtijeva, kako je ODPC to protumačio za online praćenje i kako praktični rad na usklađenosti izgleda u 2026.

Zakon o zaštiti podataka iz 2019. u pregledu

Kenijski DPA strukturiran je oko osam načela u Section 25 koji su blisko usklađeni s GDPR Article 5: zakonitost, ograničenje svrhe, minimizacija podataka, točnost, ograničenje pohrane, cjelovitost, odgovornost i kenijanski dodatak koji izričito potvrđuje ustavno pravo na privatnost. Pravne osnove u Section 30 odražavaju GDPR: pristanak, ugovor, pravna obveza, vitalni interesi, javni interes i legitimni interes. Zakon se primjenjuje na svakog voditelja obrade ili izvršitelja obrade koji obrađuje osobne podatke ispitanika smještenih u Keniji, s izvanteritorijalnim dosegom koji obuhvaća izdavače u inozemstvu koji poslužuju kenijanske posjetitelje.

Dvije strukturalne značajke Zakona operativno su važne. Prvo, voditelji obrade i izvršitelji obrade iznad određenih pragova moraju se registrirati kod ODPC-a, a Povjerenik je bio vidljiv u praćenju neregistriranih operatera. Drugo, Zakon zahtijeva imenovanje službenika za zaštitu podataka kada opseg obrade prijeđe definirane pragove — uključujući svaku obradu osobnih podataka u velikim razmjerima, što obuhvaća većinu izdavača koji se financiraju oglašavanjem i SaaS operatera.

Kako DPA tretira kolačiće i online praćenje

DPA ne sadrži odredbu specifičnu za kolačiće; obveze pristanka i informiranja proizlaze iz Sections 25, 30 i 32 Zakona. ODPC-ov 2024 Guidance Note o digitalnom marketingu i bihevioralnom oglašavanju artikulirao je specifična očekivanja za online praćenje prema kojima izdavači koji poslužuju kenijanski promet moraju dizajnirati svoja rješenja.

Afirmativni pristanak za neesencijalne kolačiće

Stav ODPC-a je nedvosmislen: pomicanje kao pristanak i nastavak korištenja kao pristanak ne zadovoljavaju uvjete slobodno danog i nedvosmislenog pristanka iz Section 32. Za neesencijalne kolačiće potrebna je izričita afirmativna radnja. Tumačenje blisko prati stajalište Radne skupne za natpise kolačića EDPB-a.

Granularne kontrole kategorija

Smjernice iz 2024. izričite su da natpisi moraju korisniku omogućiti da neovisno prihvati i odbije kategorije. Skupno "Prihvati sve" bez ekvivalentnog "Odbij sve" na istoj površini tretira se kao nedostatak, kao i pogrešno označavanje analitičkih ili marketinških kolačića kao strogo nužnih.

Podaci o djeci i sposobnost pristanka

DPA tretira ispitanike mlađe od 18 godina kao djecu za potrebe pristanka, pri čemu je za obradu potrebno roditeljsko odobrenje. Za izdavače čija publika uključuje kenijanske maloljetnike, okvir pristanka na kolačiće treba put svjestan dobi koji ne pretpostavlja sposobnost odrasle osobe.

Pravila o prekograničnom prijenosu

Section 48 Zakona regulira prijenose izvan Kenije. Prijenosi mogu nastaviti prema jednom od nekoliko mehanizama: odluka o primjerenosti od strane Povjerenika, odgovarajuće zaštitne mjere (uključujući standardne ugovorne klauzule ODPC-a, izdane 2023.), izričiti pristanak ili specifične derogacije. ODPC je sve izričitiji da "koristimo Google Analytics" nije dovoljan odgovor na upit o prekograničnom prijenosu; izdavač mora moći identificirati stvarni mehanizam koji autorizira tijek.

Provedbeni stav ODPC-a

ODPC je bio najaktivniji afrički regulator zaštite podataka od 2022., kako apsolutnim obujmom slučajeva tako i vidljivošću svojih akcija. Tri obrasca oblikuju njegov pristup provedbi.

Vidljive rane novčane kazne

ODPC je od 2022. izrekao administrativne kazne nekoliko operaterima fintech-a, digitalnih zajmova i kreditnih biroa, uspostavljajući presedan za novčane pravne lijekove prema Zakonu. Komunikacije oko tih slučajeva bile su namjerno javne, signalizirajući da je provedba stvarna, a ne samo nominalna.

Sektorski fokus na fintech i kredit

Sektor fintech-a i digitalnog kredita — koji je u Keniji neobično velik u odnosu na cjelokupno gospodarstvo zemlje — primio je najkoncentrovaniju pažnju ODPC-a. Za izdavače koji upravljaju poslovima s financiranjem oglašavanja usmjerenima na korisnike fintech-a, regulatorna atmosfera oko publike nabijenija je nego što bi bila na mnogim usporedivim tržištima.

Koordinacija s regionalnim regulatorima

ODPC sudjeluje u African Network of Data Protection Authorities i održava radne odnose s EDPB-om i nigerijskim NDPC-om. Prekogranične istrage koje uključuju kenijanski i europski promet rješavaju se koordiniranim postupcima.

Praktični kontrolni popis usklađenosti

Šest konkretnih pitanja na koja treba odgovoriti za svaki natpis kolačića koji poslužuje kenijanski promet.

Gdje Kenija stoji u višejurisdikcijskom skupu

Kenija je jedan od četiri operativno najkonzekventnija afrička režima zaštite podataka — uz Nigeriju, Južnu Afriku i novi okvir Egipta — i njezin predstart iz 2019. preveo se u najzreliji provedbeni stav na kontinentu. Za izdavače koji grade prema panafričkim operacijama, kenijski DPA je de facto predložak koji su koristili noviji regionalni zakoni: zahtjevi registracije, obvezni DPO-i iznad pragova, pravne osnove u stilu GDPR-a i pravila o prekograničnom prijenosu koja odražavaju Chapter V GDPR-a s regionalnim prilagodbama. Rad na usklađenosti za Keniju paralelan je europskom standardu s tri značajna dodatka: registracija ODPC-a, sposobnost pristanka svjesna dobi i specifične standardne ugovorne klauzule ODPC-a za prekogranične prijenose. Platforma za upravljanje pristankom izgrađena prema europskim normama obavlja veći dio posla; kenijanski dodaci su operativni slojevi na vrhu, a ne arhitektonske pregradnje.

← Blog Pročitaj sve →