Vodič za usklađenost sa Zakonom o zaštiti podataka Kenije 2019. za saglasnost sa kolačićima za izdavače u 2026.

Kenija je usvojila Zakon o zaštiti podataka 2019. u novembru te godine, postajući prva zemlja u Istočnoj Africi koja je donela sveobuhvatan zakon o privatnosti po uzoru na GDPR. Zakon je uspostavio Kancelariju komesara za zaštitu podataka (ODPC) kao samostalnog regulatora i odmah joj dao značajna izvršna ovlašćenja. Za razliku od mnogih novijih režima privatnosti u regionu, ODPC nije postepeno ušao u svoju ulogu — od 2021. godine bio je jedan od najaktivnijih afričkih organa za zaštitu podataka, izdajući obaveštenja o usklađenosti, izričući administrativne kazne i objavljujući detaljna uputstva za specifične kategorije obrade. Za izdavače, operatere finansijske tehnologije i prodavce SaaS rešenja koji opslužuju kenijske korisnike — Nairobi sam po sebi je dom jedne od najvećih koncentracija tehnološke zaposlenosti u Africi, a Kenija je strateško čvorište za panafričke digitalne usluge — DPA predstavlja stvaran i aktivan rizik izvršenja. Ovaj vodič opisuje šta Zakon zahteva, kako ga je ODPC tumačio za onlajn praćenje i kako izgleda praktičan posao usklađenosti u 2026. godini.

Zakon o zaštiti podataka 2019. u kratkim crtama

Kenijski DPA je strukturiran oko osam principa u odeljku Section 25 koji su u bliskoj saglasnosti sa GDPR Article 5: zakonitost, ograničenje svrhe, minimizacija podataka, tačnost, ograničenje čuvanja, integritet, odgovornost i kenijski dodatak koji izričito potvrđuje ustavno pravo na privatnost. Zakonske osnove u Section 30 ogledaju GDPR: pristanak, ugovor, zakonska obaveza, vitalni interesi, javni interes i legitimni interes. Zakon se primenjuje na svakog upravljača ili obrađivača podataka koji obrađuje lične podatke lica koja se nalaze u Keniji, sa eksteritorijalnim dosegom koji obuhvata strane izdavače koji opslužuju kenijske posetioce.

Dve strukturalne odlike Zakona su operativno važne. Prvo, upravljači i obrađivači koji prelaze određene pragove moraju se registrovati kod ODPC-a, a Komesar je bio vidljivo aktivan u gonjenju neregistrovanih operatera. Drugo, Zakon zahteva imenovanje službenika za zaštitu podataka kada obim obrade pređe definisane pragove — uključujući svaku obradu ličnih podataka u velikim razmerama, što obuhvata većinu izdavača koji se oslanjaju na oglase i operatere SaaS rešenja.

Kako DPA tretira kolačiće i onlajn praćenje

DPA ne sadrži odredbu specifičnu za kolačiće; obaveze pristanka i informisanja proističu iz odeljaka Section 25, Section 30 i Section 32 Zakona. Smernica ODPC-a iz 2024 Guidance Note o digitalnom marketingu i bihevioralnom oglašavanju artikulisala je specifična očekivanja za onlajn praćenje koja izdavači koji opslužuju kenijski saobraćaj moraju da uzmu u obzir.

Afirmativni pristanak za neesencijalne kolačiće

Stav ODPC-a je nedvosmislen: pomeranje kao pristanak i nastavak korišćenja kao pristanak ne zadovoljavaju uslove slobodnog i nedvosmislenog davanja pristanka iz Section 32. Za neesencijalne kolačiće neophodna je eksplicitna afirmativna radnja. Tumačenje je u bliskom skladu sa stavom EDPB Cookie Banner Taskforce.

Detaljne kontrole kategorija

Smernica iz 2024. godine je izričita da baneri moraju omogućiti korisniku da nezavisno prihvati i odbije kategorije. Skupno "Prihvati sve" bez ekvivalentnog "Odbij sve" na istoj površini tretira se kao nedostatak, kao i pogrešno označavanje analitičkih ili marketinških kolačića kao strogo neophodnih.

Podaci o deci i sposobnost davanja pristanka

DPA tretira lica mlađa od 18 godina kao decu za svrhe pristanka, pri čemu je za obradu potrebno roditeljsko ovlašćenje. Za izdavače čija publika uključuje kenijske maloletnike, okvir za pristanak na kolačiće treba da ima put koji uzima u obzir uzrast i ne pretpostavlja kapacitet odrasle osobe.

Pravila o prekograničnim prenosima

Section 48 Zakona reguliše prenose van Kenije. Prenosi se mogu odvijati po jednom od nekoliko mehanizama: odluka Komesara o adekvatnosti, odgovarajuće zaštitne mere (uključujući standardne ugovorne klauzule ODPC-a, izdate 2023. godine), eksplicitan pristanak ili posebne derogacije. ODPC je sve eksplicitniji u tome da "koristimo Google Analytics" nije dovoljan odgovor na upit o prekograničnom prenosu; izdavač mora biti u stanju da identifikuje stvarni mehanizam koji odobrava tok podataka.

Izvršni stav ODPC-a

ODPC je od 2022. godine bio najaktivniji afrički regulator zaštite podataka, kako po apsolutnom obimu predmeta, tako i po vidljivosti svojih akcija. Tri obrasca oblikuju njegov pristup izvršenju.

Vidljive rane kazne

ODPC je od 2022. godine izricao administrativne kazne nekolicini operatera finansijske tehnologije, digitalnog kreditiranja i kreditnih biroa, stvarajući presedan za monetarne sankcije prema Zakonu. Komunikacije u vezi sa ovim predmetima bile su namerno javne, signalizirajući da je izvršenje stvarno, a ne samo notionalno.

Sektorski fokus na finansijsku tehnologiju i kredit

Sektor finansijske tehnologije i digitalnog kreditiranja — koji je u Keniji neuobičajeno velik u odnosu na ukupnu ekonomiju zemlje — dobio je najkoncentrovaniju pažnju ODPC-a. Za izdavače koji vode poslove podržane oglasima i ciljaju korisnike finansijske tehnologije, regulatorna atmosfera oko publike je nabijenija nego što bi bila na mnogim uporedivim tržištima.

Koordinacija sa regionalnim regulatorima

ODPC učestvuje u African Network of Data Protection Authorities i održava radne odnose sa EDPB-om i nigerijskim NDPC-om. Prekogranične istrage koje uključuju kenijski i evropski saobraćaj rešavaju se koordinisanim procedurama.

Praktična kontrolna lista usklađenosti

Šest konkretnih pitanja na koja treba odgovoriti za svaki baner za kolačiće koji opslužuje kenijski saobraćaj.

Mesto Kenije u višejurisdikcionom sistemu

Kenija je jedan od četiri operativno najvažnija afrička režima zaštite podataka — zajedno sa Nigerijom, Južnom Afrikom i nastajućim okvirom Egipta — a njen prednosti start iz 2019. godine rezultirao je najzrelijim izvršnim stavom na kontinentu. Za izdavače koji grade panafričke operacije, kenijski DPA je de facto šablon koji su noviji regionalni zakoni koristili: zahtevi za registraciju, obavezni DPO iznad pragova, zakonske osnove po uzoru na GDPR i pravila o prekograničnom prenosu koja odslikavaju Chapter V GDPR-a sa regionalnim adaptacijama. Posao usklađenosti za Keniju je paralelan sa evropskim standardom uz tri važna dodatka: registracija kod ODPC-a, svest o uzrastu pri davanju pristanka i specifične standardne ugovorne klauzule ODPC-a za prekogranične prenose. Platforma za upravljanje pristankom izgrađena prema evropskim normama obavlja najveći deo posla; kenijska dopuna su operativni slojevi na vrhu, a ne arhitektonske rekonstrukcije.

← Blog Прочитај све →