คู่มือการปฏิบัติตามพระราชบัญญัติคุ้มครองข้อมูลเคนยา พ.ศ. 2562 ว่าด้วยการยินยอมในคุกกี้สำหรับผู้เผยแพร่ในปี 2569
เคนยาผ่านพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในเดือน November ของปีนั้น ทำให้เป็นประเทศแรกในแอฟริกาตะวันออกที่บัญญัติกฎหมายความเป็นส่วนตัวแบบครอบคลุมในรูปแบบ GDPR กฎหมายดังกล่าวได้จัดตั้ง Office of the Data Protection Commissioner (ODPC) ขึ้นเป็นหน่วยงานกำกับดูแลอิสระ และให้อำนาจบังคับใช้อย่างมีนัยสำคัญตั้งแต่วันแรก แตกต่างจากระบอบความเป็นส่วนตัวใหม่ๆ หลายแห่งในภูมิภาค ODPC ไม่ได้ค่อยๆ เข้ารับบทบาท — แต่เป็นหนึ่งในหน่วยงานคุ้มครองข้อมูลที่แอกทีฟที่สุดในแอฟริกาตั้งแต่ปี 2021 โดยออกประกาศการปฏิบัติตาม กำหนดโทษปรับทางปกครอง และเผยแพร่คำแนะนำโดยละเอียดเกี่ยวกับหมวดหมู่การประมวลผลเฉพาะ สำหรับผู้เผยแพร่ ผู้ประกอบการ fintech และผู้ขาย SaaS ที่ให้บริการทราฟฟิกเคนยา — Nairobi เพียงลำพังเป็นที่ตั้งของหนึ่งในกลุ่มการจ้างงานด้านเทคโนโลยีที่ใหญ่ที่สุดในแอฟริกา และเคนยาเป็นศูนย์กลางเชิงยุทธศาสตร์สำหรับบริการดิจิทัลระดับแอฟริกา — DPA แสดงถึงความเสี่ยงการบังคับใช้ที่แท้จริงและมีอยู่จริง คู่มือนี้ครอบคลุมสิ่งที่พระราชบัญญัติกำหนด วิธีที่ ODPC ตีความสำหรับการติดตามออนไลน์ และลักษณะของงานการปฏิบัติตามจริงในปี 2026
ภาพรวมของพระราชบัญญัติคุ้มครองข้อมูล พ.ศ. 2562
DPA ของเคนยามีโครงสร้างรอบหลักการแปดประการใน Section 25 ซึ่งสอดคล้องอย่างใกล้ชิดกับ GDPR Article 5 ได้แก่ ความถูกต้องตามกฎหมาย การจำกัดวัตถุประสงค์ การลดข้อมูลให้น้อยที่สุด ความถูกต้อง การจำกัดการจัดเก็บ ความสมบูรณ์ ความรับผิดชอบ และการเพิ่มเติมของเคนยาที่ยืนยันสิทธิตามรัฐธรรมนูญในความเป็นส่วนตัวอย่างชัดเจน ฐานทางกฎหมายใน Section 30 สะท้อน GDPR ได้แก่ ความยินยอม สัญญา ข้อผูกพันทางกฎหมาย ผลประโยชน์สำคัญ ผลประโยชน์สาธารณะ และผลประโยชน์ที่ชอบด้วยกฎหมาย พระราชบัญญัตินี้ใช้กับผู้ควบคุมหรือผู้ประมวลผลข้อมูลทุกรายที่ประมวลผลข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในเคนยา โดยมีการบังคับใช้นอกอาณาเขตที่ครอบคลุมผู้เผยแพร่ต่างประเทศที่ให้บริการผู้เยี่ยมชมเคนยา
คุณลักษณะเชิงโครงสร้างสองประการของพระราชบัญญัติมีความสำคัญในเชิงปฏิบัติ ประการแรก ผู้ควบคุมและผู้ประมวลผลที่เกินกว่าเกณฑ์ที่กำหนดต้องลงทะเบียนกับ ODPC และกรรมาธิการได้เห็นชัดถึงการดำเนินคดีกับผู้ประกอบการที่ไม่ได้ลงทะเบียน ประการที่สอง พระราชบัญญัติกำหนดให้แต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลเมื่อขอบเขตการประมวลผลข้ามเกณฑ์ที่กำหนด รวมถึงการประมวลผลข้อมูลส่วนบุคคลในวงกว้างทุกประเภท ซึ่งครอบคลุมผู้เผยแพร่ที่ได้รับการสนับสนุนจากโฆษณาและผู้ประกอบการ SaaS ส่วนใหญ่
วิธีที่ DPA จัดการกับคุกกี้และการติดตามออนไลน์
DPA ไม่มีบทบัญญัติเฉพาะสำหรับคุกกี้ ข้อผูกพันด้านความยินยอมและข้อมูลมาจาก Sections 25, 30 และ 32 ของพระราชบัญญัติ 2024 Guidance Note ของ ODPC เกี่ยวกับการตลาดดิจิทัลและการโฆษณาตามพฤติกรรมได้กำหนดความคาดหวังเฉพาะสำหรับการติดตามออนไลน์ที่ผู้เผยแพร่ซึ่งให้บริการทราฟฟิกเคนยาต้องออกแบบให้สอดคล้อง
ความยินยอมเชิงยืนยันสำหรับคุกกี้ที่ไม่จำเป็น
จุดยืนของ ODPC ชัดเจน: การเลื่อนหน้าจอเป็นความยินยอมและการใช้งานต่อเนื่องเป็นความยินยอมไม่ตอบสนองเงื่อนไขการให้โดยเสรีและชัดเจนของ Section 32 การกระทำเชิงยืนยันอย่างชัดเจนเป็นสิ่งจำเป็นสำหรับคุกกี้ที่ไม่จำเป็น การตีความนี้ใกล้เคียงกับจุดยืนของ EDPB Cookie Banner Taskforce
การควบคุมหมวดหมู่แบบละเอียด
คำแนะนำปี 2024 ระบุชัดเจนว่าแบนเนอร์ต้องให้ผู้ใช้ยอมรับและปฏิเสธหมวดหมู่ได้อย่างอิสระ "ยอมรับทั้งหมด" ที่รวมกันโดยไม่มีตัวเลือก "ปฏิเสธทั้งหมด" ที่เทียบเท่าในพื้นที่เดียวกันถือเป็นข้อบกพร่อง เช่นเดียวกับการติดฉลากผิดพลาดให้คุกกี้วิเคราะห์หรือการตลาดว่าจำเป็นอย่างยิ่ง
ข้อมูลของเด็กและความสามารถในการให้ความยินยอม
DPA ถือว่าเจ้าของข้อมูลที่อายุต่ำกว่า 18 ปีเป็นเด็กสำหรับวัตถุประสงค์ด้านความยินยอม โดยต้องได้รับอนุญาตจากผู้ปกครองสำหรับการประมวลผล สำหรับผู้เผยแพร่ที่ผู้ชมรวมถึงผู้เยาว์เคนยา กรอบความยินยอมของคุกกี้ต้องมีเส้นทางที่คำนึงถึงอายุซึ่งไม่สันนิษฐานถึงความสามารถของผู้ใหญ่
กฎสำหรับการถ่ายโอนข้ามพรมแดน
Section 48 ของพระราชบัญญัติควบคุมการถ่ายโอนนอกเคนยา การถ่ายโอนสามารถดำเนินการภายใต้กลไกใดกลไกหนึ่งในหลายกลไก ได้แก่ การกำหนดความเพียงพอโดยกรรมาธิการ การป้องกันที่เหมาะสม (รวมถึงข้อสัญญามาตรฐานของ ODPC ซึ่งออกในปี 2023) ความยินยอมโดยชัดแจ้ง หรือการยกเว้นเฉพาะ ODPC ได้ระบุชัดเจนมากขึ้นว่า "เราใช้ Google Analytics" ไม่ใช่คำตอบที่เพียงพอสำหรับการสอบสวนการถ่ายโอนข้ามพรมแดน ผู้เผยแพร่ต้องสามารถระบุกลไกจริงที่อนุญาตให้มีการไหลของข้อมูล
จุดยืนการบังคับใช้ของ ODPC
ODPC เป็นหน่วยงานกำกับดูแลการคุ้มครองข้อมูลที่แอกทีฟที่สุดในแอฟริกาตั้งแต่ปี 2022 ทั้งในด้านปริมาณคดีโดยรวมและความเห็นได้ชัดของการดำเนินการ สามรูปแบบกำหนดแนวทางการบังคับใช้ของ ODPC
โทษปรับในระยะแรกที่เห็นได้ชัด
ODPC กำหนดโทษปรับทางปกครองแก่ผู้ประกอบการ fintech การให้สินเชื่อดิจิทัล และสำนักข้อมูลเครดิตหลายรายตั้งแต่ปี 2022 สร้างบรรทัดฐานสำหรับมาตรการทางการเงินภายใต้พระราชบัญญัติ การสื่อสารเกี่ยวกับคดีเหล่านี้เป็นการสาธารณะโดยเจตนา ส่งสัญญาณว่าการบังคับใช้เป็นของจริงและไม่ใช่แค่ในนาม
การมุ่งเน้นภาคส่วน fintech และสินเชื่อ
ภาคส่วน fintech และสินเชื่อดิจิทัล — ซึ่งมีขนาดใหญ่ผิดปกติในเคนยาเมื่อเทียบกับเศรษฐกิจโดยรวมของประเทศ — ได้รับความสนใจจาก ODPC อย่างเข้มข้นที่สุด สำหรับผู้เผยแพร่ที่ดำเนินธุรกิจที่ได้รับการสนับสนุนจากโฆษณาซึ่งมุ่งเป้าผู้ใช้ fintech บรรยากาศเชิงกฎระเบียบรอบๆ กลุ่มเป้าหมายมีแรงกดดันมากกว่าที่จะเป็นในตลาดที่เทียบเคียงได้หลายแห่ง
การประสานงานกับหน่วยงานกำกับดูแลในภูมิภาค
ODPC มีส่วนร่วมใน African Network of Data Protection Authorities และรักษาความสัมพันธ์ในการทำงานกับ EDPB และ NDPC ของไนจีเรีย การสืบสวนข้ามพรมแดนที่เกี่ยวข้องกับทราฟฟิกเคนยาและยุโรปได้รับการจัดการผ่านขั้นตอนที่ประสานงานกัน
รายการตรวจสอบการปฏิบัติตามเชิงปฏิบัติ
คำถามหกข้อที่เป็นรูปธรรมที่ต้องตอบสำหรับแบนเนอร์คุกกี้ที่ให้บริการทราฟฟิกเคนยา
- ผู้ควบคุมได้ลงทะเบียนกับ ODPC แล้วหรือไม่? หากการประมวลผลของผู้เผยแพร่เกินเกณฑ์การลงทะเบียน ให้ยืนยันว่าการลงทะเบียนเป็นปัจจุบันและใบรับรองการลงทะเบียนอยู่ในไฟล์
- มีการปฏิเสธที่ชัดเจนในชั้นแรกหรือไม่? เส้นทางการปฏิเสธต้องอยู่ในพื้นที่เดียวกับการยอมรับ โดยมีความโดดเด่นที่เทียบเคียงได้
- หมวดหมู่มีความละเอียดหรือไม่? หมวดหมู่ที่จำเป็น วิเคราะห์ และการตลาดต้องสามารถควบคุมได้แยกกัน
- มีเส้นทางที่คำนึงถึงอายุหรือไม่? สำหรับกลุ่มเป้าหมายที่อาจรวมถึงผู้เยาว์เคนยา กระแสความยินยอมต้องมีการตรวจสอบอายุที่สามารถป้องกันได้หรือขั้นตอนการอนุญาตจากผู้ปกครอง
- การถ่ายโอนข้ามพรมแดนได้รับการบันทึกหรือไม่? สำหรับปลายทางนอกเคนยาแต่ละแห่ง ระบุกลไก Section 48 ที่อนุญาตการถ่ายโอน (ความเพียงพอ, ODPC SCCs, การยกเว้น)
- การบันทึกความยินยอมอยู่ในระดับการตรวจสอบหรือไม่? การประทับเวลา รุ่นแบนเนอร์ การเลือก และฐานทางกฎหมายต้องสามารถกู้คืนได้ตามต้องการ
เคนยาอยู่ที่ใดในระบบที่มีหลายเขตอำนาจศาล
เคนยาเป็นหนึ่งในสี่ระบอบการคุ้มครองข้อมูลของแอฟริกาที่มีผลกระทบในการดำเนินงานมากที่สุด — ควบคู่ไปกับไนจีเรีย แอฟริกาใต้ และกรอบที่กำลังเกิดขึ้นของอียิปต์ — และการออกตัวแต่เนิ่นๆ ในปี 2019 ได้แปลเป็นจุดยืนการบังคับใช้ที่เป็นผู้ใหญ่มากที่สุดในทวีป สำหรับผู้เผยแพร่ที่สร้างสู่การดำเนินงานระดับแอฟริกา DPA ของเคนยาเป็นแม่แบบ de facto ที่กฎหมายระดับภูมิภาคใหม่กว่าได้ใช้ ได้แก่ ข้อกำหนดการลงทะเบียน DPO บังคับเหนือเกณฑ์ ฐานทางกฎหมายแบบ GDPR และกฎการถ่ายโอนข้ามพรมแดนที่สะท้อน Chapter V ของ GDPR พร้อมการปรับตัวตามภูมิภาค งานการปฏิบัติตามสำหรับเคนยาขนานไปกับมาตรฐานยุโรปโดยมีการเพิ่มเติมสามประการที่สำคัญ ได้แก่ การลงทะเบียน ODPC ความสามารถในการให้ความยินยอมที่คำนึงถึงอายุ และข้อสัญญามาตรฐานเฉพาะของ ODPC สำหรับการถ่ายโอนข้ามพรมแดน แพลตฟอร์มการจัดการความยินยอมที่สร้างตามมาตรฐานยุโรปรองรับงานส่วนใหญ่ การเพิ่มเติมของเคนยาเป็นชั้นการดำเนินงานที่เพิ่มขึ้นมา ไม่ใช่การสร้างสถาปัตยกรรมใหม่