Guide för efterlevnad av Kenyas dataskyddslag 2019 om cookiesamtycke för utgivare 2026

Kenya antog dataskyddslagen 2019 i november det året och blev därmed det första landet i Östafrika som stiftade en heltäckande integritetslag i GDPR-stil. Lagen inrättade Office of the Data Protection Commissioner (ODPC) som en fristående tillsynsmyndighet och gav den betydande verkställande befogenheter från dag ett. Till skillnad från många nyare integritetsregimer i regionen har ODPC inte saktat in i sin roll — myndigheten har sedan 2021 varit en av de mest aktiva afrikanska dataskyddsmyndigheterna och har utfärdat efterlevnadsmeddelanden, administrativa böter och detaljerade riktlinjer för specifika behandlingskategorier. För utgivare, fintechoperatörer och SaaS-leverantörer som betjänar kenyanskt nätverkstrafik — Nairobi är ensamt hem för en av Afrikas största koncentrationer av teknikanställda och Kenya är ett strategiskt nav för panafrikanska digitala tjänster — representerar DPA en verklig och aktiv efterlevnadsrisk. Den här guiden beskriver vad lagen kräver, hur ODPC har tolkat den för onlinespårning och hur det praktiska efterlevnadsarbetet ser ut 2026.

Dataskyddslagen 2019 i korthet

Kenyas DPA är strukturerad kring åtta principer i Section 25 som nära överensstämmer med GDPR Article 5: laglighet, ändamålsbegränsning, dataminimering, korrekthet, lagringsminimering, integritet, ansvarsskyldighet och ett kenyanskt tillägg som uttryckligen bekräftar den konstitutionella rätten till integritet. De rättsliga grunderna i Section 30 speglar GDPR: samtycke, avtal, rättslig förpliktelse, vitala intressen, allmänt intresse och berättigat intresse. Lagen gäller alla personuppgiftsansvariga eller personuppgiftsbiträden som behandlar personuppgifter om registrerade som befinner sig i Kenya, med extraterritoriell räckvidd som fångar utländska utgivare som betjänar kenyanska besökare.

Två strukturella drag i lagen är operativt viktiga. För det första måste personuppgiftsansvariga och personuppgiftsbiträden som överstiger angivna tröskelvärden registrera sig hos ODPC, och Kommissionären har synligt drivit ärenden mot oregistrerade operatörer. För det andra kräver lagen att ett dataskyddsombud utses när behandlingens omfattning överstiger fastställda tröskelvärden — inklusive all storskalig behandling av personuppgifter, vilket täcker de flesta annonsfinansierade utgivare och SaaS-operatörer.

Hur DPA behandlar cookies och onlinespårning

DPA innehåller ingen cookiespecifik bestämmelse; samtyckes- och informationsskyldigheterna härrör från Section 25, Section 30 och Section 32 i lagen. ODPC:s 2024 Guidance Note om digital marknadsföring och beteendebaserad annonsering formulerade specifika förväntningar på onlinespårning som utgivare som betjänar kenyanskt nätverkstrafik behöver utforma sin verksamhet efter.

Bekräftande samtycke för icke-nödvändiga cookies

ODPC:s ståndpunkt är otvetydig: scroll som samtycke och fortsatt användning som samtycke uppfyller inte kraven på frivilligt och otvetydigt samtycke i Section 32. En uttrycklig bekräftande åtgärd krävs för icke-nödvändiga cookies. Tolkningen följer noga EDPB Cookie Banner Taskforces ståndpunkt.

Granulerade kategorikontroller

2024 års vägledning är tydlig med att banners måste låta användaren acceptera och avvisa kategorier oberoende av varandra. Samlat "Acceptera alla" utan ett likvärdigt "Avvisa alla" på samma yta behandlas som en brist, liksom felangivelse av analys- eller marknadsföringscookies som strikt nödvändiga.

Barns uppgifter och samtyckesbehörighet

DPA behandlar registrerade under 18 år som barn för samtyckesändamål, med föräldratillstånd som krävs för behandling. För utgivare vars målgrupper inkluderar kenyanska minderåriga måste ramverket för cookiesamtycke ha ett åldersmedvetet flöde som inte förutsätter vuxen behörighet.

Regler för gränsöverskridande överföringar

Section 48 i lagen reglerar överföringar utanför Kenya. Överföringar kan ske enligt en av flera mekanismer: adekvanssbeslut av Kommissionären, lämpliga skyddsåtgärder (inklusive ODPC:s standardavtalsklausuler, utfärdade 2023), uttryckligt samtycke eller specifika undantag. ODPC har allt tydligare kommunicerat att "vi använder Google Analytics" inte är ett tillräckligt svar på en förfrågan om gränsöverskridande överföring; utgivaren måste kunna identifiera den faktiska mekanism som godkänner dataflödet.

ODPC:s verkställighetsstrategi

ODPC har sedan 2022 varit den mest aktiva afrikanska dataskyddsregulatorn, både i absolut ärendemängd och i synligheten av sina åtgärder. Tre mönster präglar myndighetens verkställighetsstrategi.

Synliga tidiga böter

ODPC ålade ett antal fintechoperatörer, digitala kreditgivare och kreditupplysningsföretag administrativa böter med start 2022 och skapade därigenom prejudikat för ekonomiska sanktioner enligt lagen. Kommunikationen kring dessa ärenden har avsiktligt gjorts offentlig och signalerar att verkställighet är verklig och inte bara symbolisk.

Sektorfokus på fintech och kredit

Fintech- och digitalkreditsektorn — som är ovanligt stor i Kenya i förhållande till landets totala ekonomi — har fått den mest koncentrerade ODPC-uppmärksamheten. För utgivare som driver annonsfinansierade verksamheter riktade mot fintechanvändare är den regulatoriska atmosfären kring målgruppen mer laddad än den skulle vara på många jämförbara marknader.

Samordning med regionala tillsynsmyndigheter

ODPC deltar i African Network of Data Protection Authorities och upprätthåller arbetsrelationer med EDPB och nigerianska NDPC. Gränsöverskridande utredningar som involverar kenyansk och europeisk nätverkstrafik hanteras genom samordnade förfaranden.

Praktisk efterlevnadschecklista

Sex konkreta frågor att besvara för varje cookiebanner som betjänar kenyansk nätverkstrafik.

Kenyas plats i ett flerjurisdiktionellt system

Kenya är ett av de fyra operativt mest betydelsefulla afrikanska dataskyddsregimerna — tillsammans med Nigeria, Sydafrika och Egyptens framväxande regelverk — och landets försprång från 2019 har resulterat i den mest mogna verkställighetsprofilen på kontinenten. För utgivare som bygger panafrikansk verksamhet är kenyas DPA den de facto-mall som nyare regionala lagar har utgått från: registreringskrav, obligatoriska DPO:er över tröskelvärden, GDPR-liknande rättsliga grunder och regler för gränsöverskridande överföring som speglar Chapter V i GDPR med regionala anpassningar. Efterlevnadsarbetet för Kenya löper parallellt med den europeiska standarden med tre viktiga tillägg: ODPC-registrering, åldersmedveten samtycksbehörighet och ODPC:s specifika standardavtalsklausuler för gränsöverskridande överföringar. En samtyckeshanteringsplattform byggd enligt europeiska normer hanterar det mesta av arbetet; de kenyanska tilläggen är operativa lager ovanpå, inte arkitektoniska ombyggnader.

← Blogg Läs allt →