Kenya Veri Koruma Kanunu 2019: 2026 Yılında Yayıncılar İçin Çerez Onayı Uyumluluk Rehberi
Kenya, Data Protection Act 2019'u o yılın Kasım ayında kabul ederek kapsamlı bir GDPR tarzı gizlilik mevzuatı çıkaran ilk Doğu Afrika ülkesi oldu. Yasa, Office of the Data Protection Commissioner (ODPC) kurumunu bağımsız bir düzenleyici olarak tesis etti ve ilk günden itibaren ona güçlü uygulama yetkileri tanıdı. Bölgedeki daha yeni gizlilik rejimlerinin aksine ODPC rolüne tedricen girmedi — 2021'den bu yana uyum bildirimleri yayımlayan, idari para cezaları uygulayan ve belirli veri işleme kategorileri hakkında ayrıntılı rehberlik belgesi yayınlayan en aktif Afrika veri koruma otoritelerinden biri haline geldi. Kenya trafiğine hizmet veren yayıncılar, fintech operatörleri ve SaaS satıcıları için — Nairobi tek başına Afrika'nın en büyük teknoloji istihdamı yoğunlaşmalarından birine ev sahipliği yapmaktadır ve Kenya, pan-Afrika dijital hizmetleri için stratejik bir merkezdir — DPA gerçek ve aktif bir uygulama riski teşkil etmektedir. Bu rehber Kanunun neyi gerektirdiğini, ODPC'nin çevrimiçi takibi nasıl yorumladığını ve 2026'da pratik uyum çalışmasının nasıl göründüğünü ele almaktadır.
Veri Koruma Kanunu 2019'a Genel Bakış
Kenya DPA, GDPR Article 5 ile yakından örtüşen Section 25'teki sekiz ilke etrafında yapılandırılmıştır: hukukilik, amaç sınırlaması, veri minimizasyonu, doğruluk, saklama sınırlaması, bütünlük, hesap verebilirlik ve mahremiyetin anayasal hakkını açıkça güvence altına alan Kenya'ya özgü bir ek. Section 30'daki hukuki dayanak noktaları GDPR'ı yansıtmaktadır: onay, sözleşme, yasal yükümlülük, hayati çıkarlar, kamu yararı ve meşru menfaat. Kanun, Kenya'da bulunan veri sahiplerinin kişisel verilerini işleyen her veri denetleyicisi veya işleyicisi için geçerlidir; bu kapsam, Kenya'daki ziyaretçilere hizmet veren yurt dışı yayıncıları da içine almaktadır.
Kanunun iki yapısal özelliği operasyonel açıdan önem taşımaktadır. Birincisi, belirlenen eşiklerin üzerindeki denetleyici ve işleyiciler ODPC'ye kayıt yaptırmak zorundadır; Komiser kayıtsız operatörlerin peşinden gitme konusunda belirgin bir tutum sergilemiştir. İkincisi, Kanun, tanımlı eşiklerin aşılması halinde — reklam destekli yayıncıların ve SaaS operatörlerinin büyük çoğunluğunu kapsayan her türlü büyük ölçekli kişisel veri işleme dahil — bir DPO atanmasını zorunlu kılmaktadır.
DPA'nın Çerezlere ve Çevrimiçi Takibe Yaklaşımı
DPA çereze özgü bir hüküm içermemektedir; onay ve bilgilendirme yükümlülükleri Section 25, Section 30 ve Section 32 hükümlerinden kaynaklanmaktadır. ODPC'nin Dijital Pazarlama ve Davranışsal Reklamcılık Hakkında 2024 Guidance Note'u, Kenya trafiğine hizmet veren yayıncıların buna göre tasarım yapması gereken çevrimiçi takibe ilişkin somut beklentileri ortaya koymuştur.
Zorunlu olmayan çerezler için açık onay
ODPC'nin tutumu açıktır: sayfayı kaydırmanın onay sayılması ve kullanmaya devam etmenin onay sayılması, Section 32'nin özgürce verilmiş ve belirsizliğe yer bırakmayan koşullarını karşılamamaktadır. Zorunlu olmayan çerezler için açık bir olumlu eylem zorunludur. Bu yorum, EDPB Çerez Afişi Görev Gücü tutumunu yakından takip etmektedir.
Ayrıntılı kategori kontrolleri
2024 Guidance Note, afişlerin kullanıcının kategorileri bağımsız olarak kabul edip reddetmesine olanak tanıması gerektiğini açıkça belirtmektedir. Aynı yüzey üzerinde eşdeğer bir “Tümünü Reddet” seçeneği bulunmaksızın toplu “Tümünü Kabul Et” seçeneği sunmak bir kusur olarak değerlendirilmektedir; analitik veya pazarlama çerezlerini kesinlikle gerekli olarak etiketlemek de aynı şekilde kusur sayılmaktadır.
Çocuk verileri ve onay kapasitesi
DPA, onay amacıyla 18 yaşın altındaki veri sahiplerini çocuk olarak kabul etmekte ve işlem için ebeveyn yetkilendirmesi gerekmektedir. İzleyicileri arasında Kenya'da yaşayan reşit olmayanlar bulunan yayıncılar için çerez onayı çerçevesinin, yetişkin kapasitesini varsaymayan yaşa duyarlı bir yol içermesi gerekmektedir.
Sınır ötesi transfer kuralları
Section 48, Kenya dışına yapılan transferleri düzenlemektedir. Transferler birkaç mekanizmadan biri kapsamında gerçekleştirilebilir: Komiser tarafından yeterlilik kararı, uygun güvenceler (ODPC SCCs dahil), açık onay veya belirli istisnai haller. ODPC, “Google Analytics kullanıyoruz” ifadesinin sınır ötesi transfer sorgusuna yeterli bir yanıt olmadığı konusunda giderek daha açık bir tutum benimsemektedir; yayıncının veri akışını yetkilendiren gerçek mekanizmayı belirleyebilmesi gerekmektedir.
ODPC'nin Uygulama Tutumu
ODPC, 2022'den bu yana hem mutlak dava hacmi hem de eylemlerinin görünürlüğü açısından en aktif Afrika veri koruma düzenleyicisi olmuştur. Uygulama yaklaşımını şekillendiren üç örüntü mevcuttur.
Belirgin erken para cezaları
ODPC, 2022'den itibaren çeşitli fintech, dijital kredi ve kredi bürosu operatörlerine idari para cezaları uygulayarak Kanun kapsamında parasal yaptırımlar için emsal oluşturmuştur. Bu davalar etrafındaki iletişimler kasıtlı olarak kamuoyuna açık tutulmuş; uygulamanın soyut değil, gerçek olduğu mesajı verilmiştir.
Fintech ve krediye sektörel odaklanma
Kenya'nın genel ekonomisine oranla olağandışı büyüklükteki fintech ve dijital kredi sektörü en yoğun ODPC dikkatini çekmiştir. Fintech kullanıcılarını hedefleyen reklam destekli işletmeler yürüten yayıncılar için kitleyi çevreleyen düzenleyici atmosfer, pek çok karşılaştırılabilir pazara kıyasla daha yüklüdür.
Bölgesel düzenleyicilerle koordinasyon
ODPC, African Network of Data Protection Authorities'e katılmakta ve EDPB ile Nijeryalı NDPC ile çalışma ilişkileri sürdürmektedir. Kenya ve Avrupa trafiğini içeren sınır ötesi soruşturmalar koordineli prosedürler aracılığıyla yürütülmektedir.
Pratik Uyum Kontrol Listesi
Kenya trafiğine hizmet veren herhangi bir çerez afişi için yanıtlanması gereken altı somut soru.
- Denetleyici ODPC'ye kayıtlı mı? Yayıncının işleme faaliyeti kayıt eşiğini aşıyorsa kaydın güncel olduğunu ve kayıt belgesinin dosyada bulunduğunu doğrulayın.
- İlk katmanda açık bir reddetme seçeneği var mı? Reddetme yolu, kabul seçeneğiyle aynı yüzeyde ve karşılaştırılabilir belirginlikte yer almalıdır.
- Kategoriler ayrıntılı mı? Zorunlu, analitik ve pazarlama çerezleri ayrı ayrı kontrol edilebilir olmalıdır.
- Yaşa duyarlı bir yol sunuluyor mu? İzleyicileri arasında Kenya'da yaşayan reşit olmayanlar bulunabilecek yayıncılar için onay akışının savunulabilir bir yaş kapısı veya ebeveyn yetkilendirme adımı içermesi gerekmektedir.
- Sınır ötesi transferler belgelenmiş mi? Kenya dışındaki her hedef için transferi yetkilendiren Section 48 mekanizmasını (yeterlilik, ODPC SCCs, istisna) tanımlayın.
- Onay kaydı denetim düzeyinde mi? Zaman damgası, afiş sürümü, tercih ve hukuki dayanak talep üzerine erişilebilir olmalıdır.
Kenya'nın Çok Yargı Yetkili Bir Yapıdaki Yeri
Kenya, Nijerya, Güney Afrika ve Mısır'ın gelişmekte olan çerçevesinin yanı sıra operasyonel açıdan en belirleyici dört Afrika veri koruma rejiminden biridir ve 2019'daki başlangıç avantajı kıtadaki en olgun uygulama tutumuna dönüşmüştür. Pan-Afrika operasyonlarına yönelik altyapı kuran yayıncılar için Kenya DPA, daha yeni bölgesel yasaların başvurduğu fiili şablondur: kayıt gereklilikleri, eşiklerin üzerinde zorunlu DPO'lar, GDPR tarzı hukuki dayanak noktaları ve bölgesel uyarlamalarla GDPR'ın Chapter V'ini yansıtan sınır ötesi transfer kuralları. Kenya için uyum çalışması, Avrupa standartlarına paralel olmakla birlikte üç anlamlı ek unsur içermektedir: ODPC kaydı, yaşa duyarlı onay kapasitesi ve ODPC SCCs. Avrupa normlarına göre oluşturulmuş bir CMP işin büyük bölümünü karşılamaktadır; Kenya eklemeleri mimari yeniden yapılanmalar değil, üzerine eklenen operasyonel katmanlardır.