Закон Кенії про захист даних 2019 року: посібник із дотримання вимог щодо файлів cookie для видавців у 2026 році
Кенія прийняла Закон про захист даних 2019 року в листопаді того ж року, ставши першою країною Східної Африки, що ухвалила комплексний нормативний акт у сфері конфіденційності на зразок GDPR. Закон заснував Office of the Data Protection Commissioner (ODPC) як самостійний регуляторний орган і з першого дня наділив його реальними правозастосовними повноваженнями. На відміну від багатьох новіших режимів захисту персональних даних у регіоні, ODPC не поступово входив у свою роль — з 2021 року він є одним із найактивніших африканських органів із захисту даних: видає приписи про дотримання вимог, накладає адміністративні штрафи та публікує детальні роз'яснення щодо окремих категорій обробки. Для видавців, операторів фінтех та постачальників SaaS, що обслуговують кенійський трафік, — Nairobi є одним із найбільших центрів зайнятості у сфері технологій в Африці, а Кенія є стратегічним хабом для загальноафриканських цифрових сервісів — DPA становить реальний і активний правозастосовний ризик. Цей посібник пояснює, що вимагає Закон, як ODPC тлумачить його щодо онлайн-відстеження та як виглядає практична робота з дотримання вимог у 2026 році.
Закон про захист даних 2019 року: загальний огляд
Кенійський DPA побудований навколо восьми принципів у Section 25, що тісно узгоджуються з GDPR Article 5: законність, обмеження мети, мінімізація даних, точність, обмеження зберігання, цілісність, підзвітність і кенійське доповнення, що прямо закріплює конституційне право на приватність. Правові підстави у Section 30 відображають GDPR: згода, договір, юридичне зобов'язання, захист життєво важливих інтересів, суспільний інтерес та законний інтерес. Закон поширюється на будь-якого контролера або обробника персональних даних суб'єктів, розташованих у Кенії, з екстериторіальним охопленням, що включає закордонних видавців, які обслуговують кенійських відвідувачів.
Дві структурні особливості Закону мають операційне значення. По-перше, контролери та обробники, що перевищують встановлені пороги, зобов'язані реєструватися в ODPC, і Комісар відкрито переслідує незареєстрованих операторів. По-друге, Закон вимагає призначення відповідального за захист даних (DPO), якщо обсяг обробки перевищує визначені пороги — у тому числі будь-яка масштабна обробка персональних даних, яка охоплює більшість видавців з рекламною підтримкою та операторів SaaS.
Як DPA регулює файли cookie та онлайн-відстеження
DPA не містить спеціального положення про файли cookie; зобов'язання щодо згоди та інформування випливають із Section 25, Section 30 і Section 32 Закону. Роз'яснення ODPC 2024 Guidance Note щодо цифрового маркетингу та поведінкової реклами сформулювало конкретні вимоги до онлайн-відстеження, яких повинні дотримуватися видавці, що обслуговують кенійський трафік.
Однозначна згода для необов'язкових файлів cookie
Позиція ODPC не залишає жодних сумнівів: прокручування сторінки як згода та продовження використання як згода не відповідають вимогам Section 32 щодо вільно наданої та однозначної згоди. Для необов'язкових файлів cookie необхідна явна позитивна дія. Це тлумачення тісно узгоджується з позицією робочої групи EDPB з питань банерів файлів cookie.
Деталізовані елементи керування категоріями
Роз'яснення 2024 Guidance Note прямо вказує, що банери повинні дозволяти користувачеві приймати й відхиляти категорії незалежно. Відсутність рівноцінної кнопки “Відхилити все” на тій самій поверхні поруч із “Прийняти все” вважається порушенням, так само як і неправильне маркування аналітичних або маркетингових файлів cookie як суто необхідних.
Дані дітей і дієздатність щодо згоди
DPA відносить суб'єктів даних віком до 18 років до категорії дітей для цілей надання згоди, для обробки потрібен дозвіл батьків або опікунів. Для видавців, аудиторія яких може включати кенійських неповнолітніх, механізм отримання згоди на файли cookie повинен мати шлях, що враховує вік і не припускає дієздатності дорослої особи.
Правила транскордонних передач
Section 48 Закону регулює передачі за межі Кенії. Передачі можуть здійснюватися на підставі одного з кількох механізмів: рішення про достатність захисту з боку Комісара, відповідні гарантії (зокрема стандартні договірні положення ODPC SCCs), явна згода або спеціальні дерогації. ODPC дедалі відкритіше наполягає на тому, що відповідь “ми використовуємо Google Analytics” не є достатньою відповіддю на запит щодо транскордонної передачі; видавець повинен мати змогу визначити конкретний механізм, що уповноважує такий потік даних.
Правозастосовна позиція ODPC
ODPC є найактивнішим африканським регулятором у сфері захисту даних з 2022 року — як за абсолютним обсягом справ, так і за помітністю своїх дій. Три закономірності визначають його підхід до правозастосування.
Помітні ранні штрафи
З 2022 року ODPC наклав адміністративні штрафи на кількох операторів у сфері фінтех, цифрового кредитування та бюро кредитних історій, створивши прецедент грошових санкцій за Законом. Публічні повідомлення навколо цих справ були навмисно відкритими, демонструючи, що правозастосування є реальним, а не суто формальним.
Секторальна увага до фінтех і кредитування
Сектор фінтех та цифрового кредитування — який у Кенії є надзвичайно великим відносно загального розміру економіки — отримав найбільшу концентрацію уваги ODPC. Для видавців, що ведуть рекламний бізнес, орієнтований на користувачів фінтех, регуляторна атмосфера навколо такої аудиторії є значно більш напруженою, ніж на багатьох порівнянних ринках.
Координація з регіональними регуляторами
ODPC бере участь у роботі African Network of Data Protection Authorities і підтримує робочі відносини з EDPB та нігерійським NDPC. Транскордонні розслідування, що стосуються кенійського та європейського трафіку, ведуться за скоординованими процедурами.
Практичний контрольний список відповідності
Шість конкретних питань, на які потрібно відповісти для будь-якого банера файлів cookie, що обслуговує кенійський трафік.
- Чи зареєстрований контролер в ODPC? Якщо обробка видавця перевищує поріг реєстрації, переконайтеся, що реєстрація є чинною та що реєстраційне свідоцтво є у файлах.
- Чи є явна кнопка відхилення на першому шарі? Шлях для відхилення повинен розміщуватися на тій самій поверхні, що й прийняття, із порівнянною помітністю.
- Чи є категорії деталізованими? Необхідні, аналітичні та маркетингові файли cookie повинні контролюватися окремо.
- Чи передбачений шлях з урахуванням віку? Для аудиторій, які можуть включати кенійських неповнолітніх, механізм отримання згоди повинен мати надійний вікових шлюз або крок авторизації батьків чи опікунів.
- Чи задокументовані транскордонні передачі? Для кожного одержувача за межами Кенії визначте механізм Section 48, що уповноважує передачу (достатність, ODPC SCCs, дерогація).
- Чи відповідає журнал згоди вимогам аудиту? Часова мітка, версія банера, вибір і правова підстава повинні бути доступні на вимогу.
Місце Кенії в багатоюрисдикційному стеку
Кенія входить до четвірки найбільш операційно значущих африканських режимів захисту даних — поряд із Нігерією, Південною Африкою та Єгиптом, що розвивається, — а перевага 2019 року перетворилася на найзрілішу правозастосовну позицію на континенті. Для видавців, які розбудовують панафриканські операції, кенійський DPA є фактичним шаблоном, який використали новіші регіональні закони: вимоги реєстрації, обов'язкові DPO понад пороги, правові підстави у стилі GDPR і правила транскордонних передач, що відображають Chapter V GDPR з регіональними адаптаціями. Робота з дотримання вимог для Кенії паралельна до європейського стандарту і має три суттєві доповнення: реєстрація в ODPC, дієздатність щодо згоди з урахуванням віку та ODPC SCCs. CMP, побудована за європейськими нормами, покриває більшу частину роботи; кенійські доповнення є операційними шарами поверх, а не архітектурними перебудовами.