Mwongozo wa Uzingatiaji wa Sheria ya Ulinzi wa Data ya Kenya ya 2019 kwa Idhini ya Kuki kwa Wachapishaji mwaka 2026

Kenya ilipitisha Sheria ya Ulinzi wa Data ya 2019 mwezi November wa mwaka huo, kuwa nchi ya kwanza Afrika Mashariki kupitisha sheria ya kina ya faragha kwa mfano wa GDPR. Sheria ilianzisha Ofisi ya Kamishna wa Ulinzi wa Data (ODPC) kama mdhibiti huru na kumpa mamlaka ya utekelezaji yenye nguvu tangu siku ya kwanza. Tofauti na mifumo mingi mipya ya faragha katika eneo hilo, ODPC haijaingia polepole katika jukumu lake — imekuwa moja ya mamlaka ya ulinzi wa data hai zaidi barani Afrika tangu 2021, ikitoa notisi za uzingatiaji, kutoza faini za kiutawala na kuchapisha mwongozo wa kina kuhusu makundi maalum ya usindikaji. Kwa wachapishaji, waendeshaji wa fintech na wauzaji wa SaaS wanaohudumia trafiki ya Kenya — Nairobi peke yake ni makao ya moja ya mkusanyiko mkubwa zaidi wa ajira ya teknolojia barani Afrika, na Kenya ni kitovu cha kimkakati cha huduma za kidijitali za Afrika nzima — DPA inawakilisha hatari halisi na ya sasa ya utekelezaji. Mwongozo huu unagawanya kile Sheria inachohitaji, jinsi ODPC imeifasiri kwa ufuatiliaji wa mtandaoni na jinsi kazi ya vitendo ya uzingatiaji inavyoonekana mwaka 2026.

Muhtasari wa Sheria ya Ulinzi wa Data ya 2019

DPA ya Kenya imejengwa karibu na kanuni nane katika Section 25 ambazo zinaoana kwa karibu na GDPR Article 5: uhalali, ukomo wa madhumuni, upunguzaji wa data, usahihi, ukomo wa uhifadhi, uadilifu, uwajibikaji na nyongeza ya Kenya inayothibitisha kwa wazi haki ya kikatiba ya faragha. Misingi ya kisheria katika Section 30 inaakisi GDPR: idhini, mkataba, wajibu wa kisheria, maslahi muhimu, maslahi ya umma na maslahi halali. Sheria inatumika kwa kidhibiti au msindikaji yeyote wa data anayesindikatia data ya kibinafsi ya masomo ya data yaliyoko Kenya, na ufikio wa nje ya mipaka unaokamata wachapishaji wa nje wanaohudumia wageni wa Kenya.

Vipengele viwili vya kimuundo vya Sheria ni muhimu kwa masuala ya uendeshaji. Kwanza, vidhibiti na wasindikaji wanaozidi viwango vilivyobainishwa lazima wasajiliwe na ODPC, na Kamishna amekuwa wazi katika kufuatilia waendeshaji wasiosajiliwa. Pili, Sheria inahitaji uteuzi wa afisa wa ulinzi wa data ambapo upeo wa usindikaji unavuka viwango vilivyofafanuliwa — ikijumuisha usindikaji wowote mkubwa wa data ya kibinafsi, unaokamata wachapishaji wengi wanaotegemea matangazo na waendeshaji wa SaaS.

Jinsi DPA Inavyoshughulikia Kuki na Ufuatiliaji wa Mtandaoni

DPA haina kifungu maalum cha kuki; wajibu wa idhini na taarifa hutoka katika Sections 25, 30 na 32 za Sheria. 2024 Guidance Note ya ODPC kuhusu Masoko ya Kidijitali na Utangazaji wa Tabia iliandika matarajio maalum ya ufuatiliaji wa mtandaoni ambayo wachapishaji wanaohudumia trafiki ya Kenya wanahitaji kuzingatia.

Idhini ya uthibitisho kwa kuki zisizo za lazima

Msimamo wa ODPC hauna utata: kutumia kusogeza kama idhini na kuendelea kutumia kama idhini havikidhi masharti ya idhini iliyotolewa kwa uhuru na isiyo na utata ya Section 32. Hatua wazi ya uthibitisho inahitajika kwa kuki zisizo za lazima. Tafsiri inafuata kwa karibu msimamo wa EDPB Cookie Banner Taskforce.

Udhibiti wa makundi wa kina

Mwongozo wa 2024 ni wazi kwamba mabango lazima yaruhusu mtumiaji kukubali na kukataa makundi kwa kujitegemea. "Kubali yote" iliyojumuishwa bila sawa ya "Kataa yote" kwenye uso huo huo inachukuliwa kama kasoro, kama vile kuweka lebo kwa makosa kwa kuki za uchanganuzi au masoko kama zinazohitajika kwa ukali.

Data ya watoto na uwezo wa idhini

DPA inawachukulia masomo ya data chini ya umri wa miaka 18 kama watoto kwa madhumuni ya idhini, huku ruhusa ya wazazi ikihitajika kwa usindikaji. Kwa wachapishaji ambao watazamaji wao wanajumuisha watoto wadogo wa Kenya, mfumo wa idhini ya kuki unahitaji njia inayozingatia umri ambayo haichukui uwezo wa mtu mzima.

Sheria za uhamishaji wa mipakani

Section 48 ya Sheria inasimamia uhamishaji nje ya Kenya. Uhamishaji unaweza kuendelea chini ya moja ya njia kadhaa: uamuzi wa kutosha na Kamishna, ulinzi unaofaa (ikijumuisha vifungu vya mkataba vya kawaida vya ODPC, vilivyotolewa mwaka 2023), idhini wazi au ukato maalum. ODPC imekuwa wazi zaidi kwamba "tunatumia Google Analytics" si jibu la kutosha kwa uchunguzi wa uhamishaji wa mipakani; mchapishaji lazima aweze kutambua utaratibu halisi unaoidhinisha mtiririko.

Msimamo wa Utekelezaji wa ODPC

ODPC imekuwa mdhibiti wa ulinzi wa data hai zaidi barani Afrika tangu 2022, kwa kiasi cha mashauri ya kamili na kwa kuonekana kwa vitendo vyake. Mifumo mitatu inabainisha mkabala wake wa utekelezaji.

Faini za mapema zinazoonekana

ODPC ilitoza faini za kiutawala kwa waendeshaji kadhaa wa fintech, ukopeshaji wa kidijitali na ofisi za mikopo kuanzia 2022, ikianzisha precedenti za adhabu za fedha chini ya Sheria. Mawasiliano kuhusu kesi hizi yamekuwa ya makusudi ya umma, ikisema kwamba utekelezaji ni wa kweli na si wa nomino tu.

Kuzingatia sekta ya fintech na mikopo

Sekta ya fintech na ukopeshaji wa kidijitali — ambayo ni kubwa sana nchini Kenya ikilinganishwa na uchumi wa jumla wa nchi — imepokea umakini zaidi wa ODPC. Kwa wachapishaji wanaoendesha biashara zinazotegemea matangazo zinazolenga watumiaji wa fintech, mazingira ya udhibiti yanayozunguka watazamaji ni ya msongo zaidi kuliko yanavyokuwa katika masoko mengi yanayofanana.

Uratibu na wasimamizi wa kikanda

ODPC inashiriki katika African Network of Data Protection Authorities na inadumisha uhusiano wa kazi na EDPB na NDPC ya Nigeria. Uchunguzi wa kimataifa unaohusisha trafiki ya Kenya na Ulaya unashughulikiwa kupitia taratibu zilizoratibishwa.

Orodha ya Ukaguzi wa Uzingatiaji wa Vitendo

Maswali sita maalum ya kujibu kwa mabango yoyote ya kuki yanayohudumia trafiki ya Kenya.

Kenya Inapowekwa katika Mfumo wa Mamlaka Nyingi

Kenya ni moja ya mifumo minne ya ulinzi wa data ya Afrika inayofaa zaidi kwa uendeshaji — pamoja na Nigeria, Afrika Kusini na mfumo unaokua wa Misri — na mwanzo wake wa mapema wa 2019 umesababisha msimamo wa utekelezaji uliokomaa zaidi barani Afrika. Kwa wachapishaji wanaokusudia uendeshaji wa Afrika nzima, DPA ya Kenya ni kiolezo cha de facto ambacho sheria mpya za kikanda zimetumia: mahitaji ya usajili, DPO za lazima juu ya viwango, misingi ya kisheria ya mtindo wa GDPR na sheria za uhamishaji wa mipakani zinazoakisi Chapter V ya GDPR na marekebisho ya kikanda. Kazi ya uzingatiaji kwa Kenya inafanana na kiwango cha Ulaya na nyongeza tatu muhimu: usajili wa ODPC, uwezo wa idhini unaozingatia umri na vifungu maalum vya mkataba vya kawaida vya ODPC kwa uhamishaji wa mipakani. Jukwaa la usimamizi wa idhini lililojengwa kwa viwango vya Ulaya linashughulikia sehemu kubwa ya kazi; nyongeza za Kenya ni tabaka za uendeshaji juu, si ujenzi upya wa usanifu.

← Blogu Soma Zote →