Kenya adatvédelmi törvény 2019 – Süti-hozzájárulás megfelelőségi útmutató kiadók számára 2026-ban

Kenya a Data Protection Act 2019-et November 2019-ben fogadta el, ezzel Kelet-Afrika első olyan országa lett, amely átfogó, GDPR-stílusú adatvédelmi jogszabályt alkotott. A törvény létrehozta az Office of the Data Protection Commissioner (ODPC) intézményét önálló szabályozóként, és már az első naptól kezdve érdemi végrehajtási hatáskörrel ruházta fel. A régió számos újabb adatvédelmi rezsimjével ellentétben az ODPC nem fokozatosan találta meg a szerepét — 2021 óta az egyik legaktívabb afrikai adatvédelmi hatóság, megfelelőségi értesítéseket ad ki, közigazgatási bírságokat szab ki, és részletes útmutatókat tesz közzé egyes adatkezelési kategóriákról. A kenyai forgalmat kiszolgáló kiadók, fintech-üzemeltetők és SaaS-szállítók számára — Nairobi egyedül az afrikai technológiai foglalkoztatás egyik legnagyobb koncentrációjának ad otthont, és Kenya stratégiai csomópontja a pánáfrikai digitális szolgáltatásoknak — a DPA valós és aktív végrehajtási kockázatot jelent. Ez az útmutató végigveszi, hogy a törvény mit követel meg, hogyan értelmezte az ODPC az online nyomkövetést, és hogyan néz ki a gyakorlati megfelelőségi munka 2026-ban.

A Data Protection Act 2019 áttekintése

A kenyai DPA a Section 25 nyolc elvére épül, amelyek szorosan igazodnak a GDPR Article 5-höz: jogszerűség, célhoz kötöttség, adattakarékosság, pontosság, tárolási korlátok, integritás, elszámoltathatóság, és egy kenyai kiegészítés, amely kifejezetten megerősíti a magánélethez való alkotmányos jogot. A Section 30 jogalapjai tükrözik a GDPR rendszerét: hozzájárulás, szerződés, jogi kötelezettség, létfontosságú érdekek, közérdek és jogos érdek. A törvény hatálya kiterjed minden adatkezelőre vagy adatfeldolgozóra, amely Kenyában tartózkodó érintettekre vonatkozó személyes adatokat kezel, az extraterritoriális hatály lefedi a kenyai látogatókat kiszolgáló tengerentúli kiadókat is.

A törvény két strukturális jellemzője operatív szempontból fontos. Egyrészt a meghatározott küszöböt meghaladó adatkezelőknek és adatfeldolgozóknak regisztrálniuk kell az ODPC-nél, a Biztos pedig határozottan fellép a be nem regisztrált üzemeltetők ellen. Másrészt a törvény előírja adatvédelmi tisztviselő kinevezését ott, ahol az adatkezelés terjedelme meghatározott küszöbértékeket lép át — beleértve minden nagyszabású személyes adatkezelést, ami lefedi a legtöbb reklámfinanszírozott kiadót és SaaS-üzemeltetőt.

Hogyan kezeli a DPA a sütiket és az online nyomkövetést

A DPA nem tartalmaz sütire vonatkozó külön rendelkezést; a hozzájárulási és tájékoztatási kötelezettségek a törvény Section 25, Section 30 és Section 32 szakaszaiból fakadnak. Az ODPC 2024 Guidance Note a digitális marketingről és a viselkedésalapú reklámozásról konkrét elvárásokat fogalmazott meg az online nyomkövetéssel kapcsolatban, amelyeket a kenyai forgalmat kiszolgáló kiadóknak figyelembe kell venniük.

Kifejezett hozzájárulás nem elengedhetetlen sütikhez

Az ODPC álláspontja egyértelmű: a görgetés mint hozzájárulás és a folyamatos használat mint hozzájárulás nem teljesíti a Section 32 szabad és egyértelmű feltételeit. Nem alapvető sütikhez kifejezett, aktív cselekvés szükséges. Ez az értelmezés szorosan követi az EDPB Süti-sáv Munkacsoport álláspontját.

Részletes kategóriavezérlők

A 2024-es útmutató egyértelműen kimondja, hogy a sávoknak lehetővé kell tenniük a felhasználó számára a kategóriák önálló elfogadását és elutasítását. A „Mindent elfogad” lehetőség az ugyanazon a felületen lévő egyenértékű „Mindent elutasít” nélkül hibának minősül, ahogyan az elemzési vagy marketing sütik szükségesként való félrecímkézése is.

Gyermekek adatai és a hozzájárulási képesség

A DPA a hozzájárulás szempontjából 18 év alatti érintetteket gyermeknek tekinti, az adatkezeléshez szülői engedély szükséges. Azon kiadók számára, akik közönsége kenyai kiskorúakat is tartalmaz, a sütik hozzájárulási keretének egy életkort figyelembe vevő útvonalra van szüksége, amely nem feltételez felnőtt jogképességet.

Határon átnyúló adattovábbítási szabályok

A törvény Section 48 szakasza szabályozza a Kenyán kívüli adattovábbításokat. Az adattovábbítások több mechanizmus valamelyike alapján folytathatók: a Biztos megfelelőségi határozata, megfelelő garanciák (beleértve az ODPC 2023-ban kiadott standard szerződéses záradékait), kifejezett hozzájárulás vagy konkrét eltérések. Az ODPC egyre határozottabban kijelentette, hogy a „Google Analytics-et használunk” nem elégséges válasz egy határon átnyúló adattovábbítási vizsgálatra; a kiadónak meg kell tudnia jelölni a tényleges mechanizmust, amely az adatáramlást engedélyezi.

Az ODPC végrehajtási magatartása

Az ODPC 2022 óta a legaktívabb afrikai adatvédelmi szabályozó, mind az ügyek abszolút számát, mind intézkedéseinek láthatóságát tekintve. Három mintázat határozza meg végrehajtási megközelítését.

Látható korai bírságok

Az ODPC 2022-től kezdve közigazgatási bírságokat szabott ki több fintech, digitális hitelezési és hiteliroda-üzemeltetőre, precedenst teremtve a törvény szerinti pénzbüntetésekre. Az ezekkel az esetekkel kapcsolatos kommunikáció szándékosan nyilvános volt, jelezve, hogy a végrehajtás valós és nem csupán formális.

Szektoriális fókusz a fintech és hitel területén

A fintech és digitális hitelszféra — amely Kenyában az ország általános gazdaságához képest szokatlanul nagy — kapta a legtöbb összpontosított ODPC-figyelmet. A fintech-felhasználókat célzó reklámfinanszírozott vállalkozásokat üzemeltető kiadók számára a közönséget övező szabályozási légkör feszültebb, mint sok összehasonlítható piacon.

Koordináció a regionális szabályozókkal

Az ODPC részt vesz az African Network of Data Protection Authorities munkájában, és munkakapcsolatot tart fenn az EDPB-vel és a nigériai NDPC-vel. A kenyai és európai forgalmat érintő határon átnyúló vizsgálatokat koordinált eljárásokban kezelik.

Gyakorlati megfelelőségi ellenőrzőlista

Hat konkrét kérdés, amelyre választ kell adni minden kenyai forgalmat kiszolgáló süti-sávnál.

Kenya helye a többhatáskörű keretrendszerben

Kenya a négy operatív szempontból legjelentősebb afrikai adatvédelmi rezsim egyike — Nigéria, Dél-Afrika és Egyiptom kialakulóban lévő keretrendszere mellett —, és a 2019-es előnye a kontinens legérettebb végrehajtási magatartásává érett. A pánáfrikai működésre törekvő kiadók számára a kenyai DPA az a de facto sablon, amelyet az újabb regionális törvények is felhasználtak: regisztrációs követelmények, kötelező adatvédelmi tisztviselők a küszöbök felett, GDPR-stílusú jogalapok, és a GDPR Chapter V rendelkezéseit regionális adaptációkkal tükröző határon átnyúló adattovábbítási szabályok. Kenya esetében a megfelelőségi munka párhuzamos az európai standardokkal, három lényeges kiegészítéssel: ODPC-regisztráció, életkort figyelembe vevő hozzájárulási képesség és az ODPC határon átnyúló adattovábbításokra vonatkozó specifikus standard szerződéses záradékai. Az európai normák szerint épített hozzájárulás-kezelő platform elvégzi a munka nagy részét; a kenyai kiegészítések operatív rétegek a tetején, nem architekturális újjáépítések.

← Blog Összes olvasása →