Kenya adatvédelmi törvény 2019 – Süti-hozzájárulás megfelelőségi útmutató kiadók számára 2026-ban
Kenya a Data Protection Act 2019-et November 2019-ben fogadta el, ezzel Kelet-Afrika első olyan országa lett, amely átfogó, GDPR-stílusú adatvédelmi jogszabályt alkotott. A törvény létrehozta az Office of the Data Protection Commissioner (ODPC) intézményét önálló szabályozóként, és már az első naptól kezdve érdemi végrehajtási hatáskörrel ruházta fel. A régió számos újabb adatvédelmi rezsimjével ellentétben az ODPC nem fokozatosan találta meg a szerepét — 2021 óta az egyik legaktívabb afrikai adatvédelmi hatóság, megfelelőségi értesítéseket ad ki, közigazgatási bírságokat szab ki, és részletes útmutatókat tesz közzé egyes adatkezelési kategóriákról. A kenyai forgalmat kiszolgáló kiadók, fintech-üzemeltetők és SaaS-szállítók számára — Nairobi egyedül az afrikai technológiai foglalkoztatás egyik legnagyobb koncentrációjának ad otthont, és Kenya stratégiai csomópontja a pánáfrikai digitális szolgáltatásoknak — a DPA valós és aktív végrehajtási kockázatot jelent. Ez az útmutató végigveszi, hogy a törvény mit követel meg, hogyan értelmezte az ODPC az online nyomkövetést, és hogyan néz ki a gyakorlati megfelelőségi munka 2026-ban.
A Data Protection Act 2019 áttekintése
A kenyai DPA a Section 25 nyolc elvére épül, amelyek szorosan igazodnak a GDPR Article 5-höz: jogszerűség, célhoz kötöttség, adattakarékosság, pontosság, tárolási korlátok, integritás, elszámoltathatóság, és egy kenyai kiegészítés, amely kifejezetten megerősíti a magánélethez való alkotmányos jogot. A Section 30 jogalapjai tükrözik a GDPR rendszerét: hozzájárulás, szerződés, jogi kötelezettség, létfontosságú érdekek, közérdek és jogos érdek. A törvény hatálya kiterjed minden adatkezelőre vagy adatfeldolgozóra, amely Kenyában tartózkodó érintettekre vonatkozó személyes adatokat kezel, az extraterritoriális hatály lefedi a kenyai látogatókat kiszolgáló tengerentúli kiadókat is.
A törvény két strukturális jellemzője operatív szempontból fontos. Egyrészt a meghatározott küszöböt meghaladó adatkezelőknek és adatfeldolgozóknak regisztrálniuk kell az ODPC-nél, a Biztos pedig határozottan fellép a be nem regisztrált üzemeltetők ellen. Másrészt a törvény előírja adatvédelmi tisztviselő kinevezését ott, ahol az adatkezelés terjedelme meghatározott küszöbértékeket lép át — beleértve minden nagyszabású személyes adatkezelést, ami lefedi a legtöbb reklámfinanszírozott kiadót és SaaS-üzemeltetőt.
Hogyan kezeli a DPA a sütiket és az online nyomkövetést
A DPA nem tartalmaz sütire vonatkozó külön rendelkezést; a hozzájárulási és tájékoztatási kötelezettségek a törvény Section 25, Section 30 és Section 32 szakaszaiból fakadnak. Az ODPC 2024 Guidance Note a digitális marketingről és a viselkedésalapú reklámozásról konkrét elvárásokat fogalmazott meg az online nyomkövetéssel kapcsolatban, amelyeket a kenyai forgalmat kiszolgáló kiadóknak figyelembe kell venniük.
Kifejezett hozzájárulás nem elengedhetetlen sütikhez
Az ODPC álláspontja egyértelmű: a görgetés mint hozzájárulás és a folyamatos használat mint hozzájárulás nem teljesíti a Section 32 szabad és egyértelmű feltételeit. Nem alapvető sütikhez kifejezett, aktív cselekvés szükséges. Ez az értelmezés szorosan követi az EDPB Süti-sáv Munkacsoport álláspontját.
Részletes kategóriavezérlők
A 2024-es útmutató egyértelműen kimondja, hogy a sávoknak lehetővé kell tenniük a felhasználó számára a kategóriák önálló elfogadását és elutasítását. A „Mindent elfogad” lehetőség az ugyanazon a felületen lévő egyenértékű „Mindent elutasít” nélkül hibának minősül, ahogyan az elemzési vagy marketing sütik szükségesként való félrecímkézése is.
Gyermekek adatai és a hozzájárulási képesség
A DPA a hozzájárulás szempontjából 18 év alatti érintetteket gyermeknek tekinti, az adatkezeléshez szülői engedély szükséges. Azon kiadók számára, akik közönsége kenyai kiskorúakat is tartalmaz, a sütik hozzájárulási keretének egy életkort figyelembe vevő útvonalra van szüksége, amely nem feltételez felnőtt jogképességet.
Határon átnyúló adattovábbítási szabályok
A törvény Section 48 szakasza szabályozza a Kenyán kívüli adattovábbításokat. Az adattovábbítások több mechanizmus valamelyike alapján folytathatók: a Biztos megfelelőségi határozata, megfelelő garanciák (beleértve az ODPC 2023-ban kiadott standard szerződéses záradékait), kifejezett hozzájárulás vagy konkrét eltérések. Az ODPC egyre határozottabban kijelentette, hogy a „Google Analytics-et használunk” nem elégséges válasz egy határon átnyúló adattovábbítási vizsgálatra; a kiadónak meg kell tudnia jelölni a tényleges mechanizmust, amely az adatáramlást engedélyezi.
Az ODPC végrehajtási magatartása
Az ODPC 2022 óta a legaktívabb afrikai adatvédelmi szabályozó, mind az ügyek abszolút számát, mind intézkedéseinek láthatóságát tekintve. Három mintázat határozza meg végrehajtási megközelítését.
Látható korai bírságok
Az ODPC 2022-től kezdve közigazgatási bírságokat szabott ki több fintech, digitális hitelezési és hiteliroda-üzemeltetőre, precedenst teremtve a törvény szerinti pénzbüntetésekre. Az ezekkel az esetekkel kapcsolatos kommunikáció szándékosan nyilvános volt, jelezve, hogy a végrehajtás valós és nem csupán formális.
Szektoriális fókusz a fintech és hitel területén
A fintech és digitális hitelszféra — amely Kenyában az ország általános gazdaságához képest szokatlanul nagy — kapta a legtöbb összpontosított ODPC-figyelmet. A fintech-felhasználókat célzó reklámfinanszírozott vállalkozásokat üzemeltető kiadók számára a közönséget övező szabályozási légkör feszültebb, mint sok összehasonlítható piacon.
Koordináció a regionális szabályozókkal
Az ODPC részt vesz az African Network of Data Protection Authorities munkájában, és munkakapcsolatot tart fenn az EDPB-vel és a nigériai NDPC-vel. A kenyai és európai forgalmat érintő határon átnyúló vizsgálatokat koordinált eljárásokban kezelik.
Gyakorlati megfelelőségi ellenőrzőlista
Hat konkrét kérdés, amelyre választ kell adni minden kenyai forgalmat kiszolgáló süti-sávnál.
- Regisztrált-e az adatkezelő az ODPC-nél? Ha a kiadó adatkezelése átlépi a regisztrációs küszöböt, erősítse meg, hogy a regisztráció érvényes, és a regisztrációs igazolás iratai között van.
- Van-e kifejezett első rétegű elutasítás? Az elutasítási útvonalnak ugyanazon a felületen kell lennie, mint az elfogadásnak, hasonló kiemelkedőséggel.
- Részletesek-e a kategóriák? A szükséges, az elemzési és a marketing kategóriáknak külön-külön vezérelhetőnek kell lenniük.
- Van-e életkort figyelembe vevő útvonal? Olyan közönségek esetén, amelyek kenyai kiskorúakat is tartalmazhatnak, a hozzájárulási folyamathoz védhető életkori ellenőrzési vagy szülői engedélyezési lépésre van szükség.
- Dokumentáltak-e a határon átnyúló adattovábbítások? Minden nem kenyai célállomásnál azonosítsa a Section 48 szerinti mechanizmust, amely engedélyezi az adattovábbítást (megfelelőség, ODPC SCCs, eltérés).
- Audit-szintű-e a hozzájárulási naplózás? Az időbélyeg, a sávverzió, a döntés és a jogalap igény esetén visszakereshetőnek kell lennie.
Kenya helye a többhatáskörű keretrendszerben
Kenya a négy operatív szempontból legjelentősebb afrikai adatvédelmi rezsim egyike — Nigéria, Dél-Afrika és Egyiptom kialakulóban lévő keretrendszere mellett —, és a 2019-es előnye a kontinens legérettebb végrehajtási magatartásává érett. A pánáfrikai működésre törekvő kiadók számára a kenyai DPA az a de facto sablon, amelyet az újabb regionális törvények is felhasználtak: regisztrációs követelmények, kötelező adatvédelmi tisztviselők a küszöbök felett, GDPR-stílusú jogalapok, és a GDPR Chapter V rendelkezéseit regionális adaptációkkal tükröző határon átnyúló adattovábbítási szabályok. Kenya esetében a megfelelőségi munka párhuzamos az európai standardokkal, három lényeges kiegészítéssel: ODPC-regisztráció, életkort figyelembe vevő hozzájárulási képesség és az ODPC határon átnyúló adattovábbításokra vonatkozó specifikus standard szerződéses záradékai. Az európai normák szerint épített hozzájárulás-kezelő platform elvégzi a munka nagy részét; a kenyai kiegészítések operatív rétegek a tetején, nem architekturális újjáépítések.