Luật Bảo vệ Dữ liệu Kenya 2019: Hướng dẫn tuân thủ đồng ý cookie cho nhà xuất bản năm 2026

Kenya đã thông qua Luật Bảo vệ Dữ liệu 2019 vào tháng 11 năm đó, trở thành quốc gia Đông Phi đầu tiên ban hành đạo luật quyền riêng tư theo phong cách GDPR toàn diện. Luật này thành lập Office of the Data Protection Commissioner (ODPC) là cơ quan quản lý độc lập và trao cho cơ quan này quyền thực thi thực chất ngay từ ngày đầu. Không giống nhiều chế độ quyền riêng tư mới hơn trong khu vực, ODPC không từ từ bước vào vai trò của mình — đây là một trong những cơ quan bảo vệ dữ liệu châu Phi tích cực nhất kể từ năm 2021, ban hành thông báo tuân thủ, áp đặt tiền phạt hành chính và công bố hướng dẫn chi tiết về các danh mục xử lý cụ thể. Đối với các nhà xuất bản, nhà vận hành fintech và nhà cung cấp SaaS phục vụ lưu lượng truy cập Kenya — Nairobi một mình là nơi có một trong những tập trung việc làm công nghệ châu Phi lớn nhất, và Kenya là trung tâm chiến lược cho các dịch vụ kỹ thuật số toàn Phi — DPA đặt ra rủi ro thực thi thực sự và chủ động. Hướng dẫn này đi qua những gì Luật yêu cầu, cách ODPC giải thích nó cho việc theo dõi trực tuyến và công việc tuân thủ thực tế trông như thế nào vào năm 2026.

Tổng quan Luật Bảo vệ Dữ liệu 2019

DPA Kenya được cấu trúc xung quanh tám nguyên tắc trong Section 25 phù hợp chặt chẽ với GDPR Article 5: tính hợp pháp, giới hạn mục đích, tối thiểu hóa dữ liệu, tính chính xác, giới hạn lưu trữ, tính toàn vẹn, trách nhiệm giải trình và bổ sung của Kenya khẳng định rõ ràng quyền hiến định về quyền riêng tư. Các cơ sở pháp lý trong Section 30 phản ánh GDPR: đồng ý, hợp đồng, nghĩa vụ pháp lý, lợi ích thiết yếu, lợi ích công cộng và lợi ích hợp pháp. Luật áp dụng cho bất kỳ bộ kiểm soát hoặc bộ xử lý dữ liệu nào xử lý dữ liệu cá nhân của chủ thể dữ liệu đặt tại Kenya, với phạm vi ngoài lãnh thổ bao gồm các nhà xuất bản nước ngoài phục vụ khách truy cập Kenya.

Hai đặc điểm cấu trúc của Luật quan trọng về mặt vận hành. Thứ nhất, các bộ kiểm soát và bộ xử lý vượt ngưỡng quy định phải đăng ký với ODPC, và Ủy viên đã công khai trong việc truy đuổi các nhà vận hành chưa đăng ký. Thứ hai, Luật yêu cầu bổ nhiệm DPO khi phạm vi xử lý vượt qua các ngưỡng xác định — bao gồm bất kỳ xử lý dữ liệu cá nhân quy mô lớn nào, bao gồm hầu hết các nhà xuất bản có hỗ trợ quảng cáo và nhà vận hành SaaS.

DPA đối xử với cookie và theo dõi trực tuyến như thế nào

DPA không chứa điều khoản dành riêng cho cookie; các nghĩa vụ đồng ý và thông tin xuất phát từ Section 25, Section 30 và Section 32 của Luật. Ghi chú hướng dẫn 2024 Guidance Note của ODPC về Tiếp thị Kỹ thuật số và Quảng cáo Hành vi đã nêu rõ các kỳ vọng cụ thể đối với việc theo dõi trực tuyến mà các nhà xuất bản phục vụ lưu lượng Kenya cần thiết kế theo.

Đồng ý khẳng định cho cookie không thiết yếu

Lập trường của ODPC rõ ràng: cuộn trang như đồng ý và tiếp tục sử dụng như đồng ý không đáp ứng các điều kiện được trao tự do và không mơ hồ của Section 32. Một hành động khẳng định rõ ràng là bắt buộc đối với cookie không thiết yếu. Cách giải thích này theo sát lập trường của Nhóm công tác Biểu ngữ Cookie của EDPB.

Kiểm soát danh mục chi tiết

Hướng dẫn 2024 Guidance Note nêu rõ rằng biểu ngữ phải cho phép người dùng chấp nhận và từ chối các danh mục một cách độc lập. Gộp chung “Chấp nhận tất cả” mà không có “Từ chối tất cả” tương đương trên cùng bề mặt được coi là lỗi, cũng như việc dán nhãn sai cookie phân tích hoặc tiếp thị là hoàn toàn cần thiết.

Dữ liệu trẻ em và năng lực đồng ý

DPA coi các chủ thể dữ liệu dưới 18 tuổi là trẻ em cho mục đích đồng ý, với việc ủy quyền của cha mẹ cần thiết cho việc xử lý. Đối với các nhà xuất bản có đối tượng có thể bao gồm trẻ vị thành niên Kenya, khung đồng ý cookie cần một con đường có ý thức về độ tuổi không giả định năng lực của người lớn.

Quy tắc chuyển giao xuyên biên giới

Section 48 của Luật điều chỉnh các chuyển giao bên ngoài Kenya. Các chuyển giao có thể tiến hành theo một trong một số cơ chế: chỉ định đầy đủ của Ủy viên, các biện pháp bảo vệ thích hợp (bao gồm ODPC SCCs), đồng ý rõ ràng hoặc các ngoại lệ cụ thể. ODPC ngày càng nêu rõ rằng “chúng tôi sử dụng Google Analytics” không phải là câu trả lời đầy đủ cho yêu cầu chuyển giao xuyên biên giới; nhà xuất bản phải có thể xác định cơ chế thực tế ủy quyền cho luồng đó.

Lập trường thực thi của ODPC

ODPC là cơ quan quản lý bảo vệ dữ liệu châu Phi tích cực nhất kể từ năm 2022, cả về khối lượng vụ việc tuyệt đối và sự nổi bật của các hành động của mình. Ba mô hình định hình phương pháp thực thi của nó.

Tiền phạt ban đầu đáng chú ý

ODPC đã áp đặt tiền phạt hành chính đối với một số nhà vận hành fintech, cho vay kỹ thuật số và cục tín dụng bắt đầu từ năm 2022, tạo ra tiền lệ cho các biện pháp khắc phục bằng tiền theo Luật. Các thông tin liên lạc xung quanh những vụ việc này đã cố ý công khai, phát tín hiệu rằng việc thực thi là thực và không chỉ là mang tính danh nghĩa.

Tập trung theo lĩnh vực vào fintech và tín dụng

Lĩnh vực fintech và tín dụng kỹ thuật số — vốn lớn bất thường ở Kenya so với quy mô kinh tế tổng thể của đất nước — đã nhận được sự chú ý tập trung nhất của ODPC. Đối với các nhà xuất bản vận hành doanh nghiệp có hỗ trợ quảng cáo nhắm mục tiêu người dùng fintech, bầu không khí quản lý xung quanh đối tượng sôi động hơn so với nhiều thị trường có thể so sánh.

Phối hợp với các cơ quan quản lý khu vực

ODPC tham gia vào African Network of Data Protection Authorities và duy trì mối quan hệ làm việc với EDPB và NDPC Nigeria. Các cuộc điều tra xuyên biên giới liên quan đến lưu lượng Kenya và châu Âu được xử lý thông qua các thủ tục phối hợp.

Danh sách kiểm tra tuân thủ thực tế

Sáu câu hỏi cụ thể cần trả lời cho bất kỳ biểu ngữ cookie nào phục vụ lưu lượng Kenya.

Kenya phù hợp ở đâu trong ngăn xếp nhiều thẩm quyền

Kenya là một trong bốn chế độ bảo vệ dữ liệu châu Phi có hậu quả vận hành nhất — cùng với Nigeria, Nam Phi và khung đang nổi lên của Ai Cập — và lợi thế khởi đầu năm 2019 đã chuyển thành lập trường thực thi trưởng thành nhất trên lục địa. Đối với các nhà xuất bản xây dựng hướng tới hoạt động toàn Phi, DPA Kenya là mẫu de facto mà các luật khu vực mới hơn đã sử dụng: yêu cầu đăng ký, DPO bắt buộc trên các ngưỡng, cơ sở pháp lý theo phong cách GDPR và các quy tắc chuyển giao xuyên biên giới phản ánh Chapter V của GDPR với các sự thích nghi khu vực. Công việc tuân thủ cho Kenya song song với tiêu chuẩn châu Âu với ba bổ sung có ý nghĩa: đăng ký ODPC, năng lực đồng ý có ý thức về độ tuổi và ODPC SCCs. CMP được xây dựng theo chuẩn mực châu Âu xử lý phần lớn công việc; các bổ sung Kenya là các lớp vận hành trên đỉnh, không phải tái kiến trúc.

← Blog Đọc tất cả →