Sheria za Faragha ya Data za Kenya: DPA 2019, Utekelezaji wa ODPC, na Mwongozo wa Uzingatiaji wa 2026

Data Protection Act Na. 24 ya 2019 ya Kenya, iliyojikita katika Ibara ya 31 ya Katiba ya Kenya ya 2010, inasimamia jinsi shirika lolote linavyokusanya au kuchakata taarifa binafsi za watu nchini Kenya. Office of the Data Protection Commissioner ndiyo inayotekeleza Sheria hiyo, ikihitaji usajili juu ya viwango vilivyowekwa na taarifa ya uvunjaji wa data ndani ya saa 72.
Kenya inasimama kama mojawapo ya mamlaka imara zaidi za ulinzi wa faragha ya data barani Afrika. Data Protection Act Na. 24 ya 2019 (DPA) ilianzisha mfumo kamili wa kisheria unaosimamia jinsi taarifa binafsi zinavyokusanywa, kuchakatwa, kuhifadhiwa, na kuhamishwa, na Office of the Data Protection Commissioner (ODPC) imehama kutoka hatua ya kuelimisha jamii kwenda utekelezaji hai na wenye athari kubwa za kifedha.
Mwongozo huu unashughulikia kila kipengele kikuu cha mfumo wa ulinzi wa faragha ya data wa Kenya: msingi wa kikatiba, kanuni za utekelezaji za 2021, mahitaji ya usajili, haki za wahusika wa data, taarifa ya uvunjaji wa data, wajibu wa Afisa wa Ulinzi wa Data, kanuni za uhamishaji wa data kimataifa, rekodi kamili ya utekelezaji kufikia 2026, na mabadiliko ya kisheria yanayopita sasa katika Bunge.
Kwa muhtasari wa jinsi kanuni za idhini ya kurekodi za Kenya zinavyoingiliana na sheria ya faragha, angalia mwongozo wetu wa sheria za kurekodi za Kenya.
Jibu la Haraka
Mfumo wa ulinzi wa data wa Kenya umejengwa juu ya Data Protection Act, 2019, seti nne za kanuni za utekelezaji za 2021, na ODPC kama msimamizi. Sheria hiyo inatumika kwa shirika lolote, la umma au la binafsi, linalochakata taarifa binafsi za watu nchini Kenya. Usajili na ODPC ni wa lazima juu ya viwango vilivyoainishwa. Taarifa ya uvunjaji wa data inatolewa kwa ODPC ndani ya saa 72. Adhabu zinafikia KES milioni 5 kiutawala, pamoja na dhima ya jinai ya hadi KES milioni 3 na kifungo cha miaka 10.
Msingi wa Kikatiba: Ibara ya 31
Mfumo wa ulinzi wa data wa Kenya umejikita katika Katiba ya Kenya ya 2010. Ibara ya 31 ya Bill of Rights inahakikisha kila mtu haki ya faragha.
Hasa, Ibara ya 31 inaeleza kuwa kila mtu ana haki ya kutokuwa na:
- Mtu wake, nyumba yake, au mali yake kupekuliwa
- Vitu vyake kunyang'anywa
- Taarifa zinazohusu familia yake au mambo yake binafsi kudaiwa au kufichuliwa bila sababu ya msingi
- Faragha ya mawasiliano yake kukiukwa
DPA 2019 ilitungwa ili kutekeleza Ibara ya 31(c) na 31(d). Vifungu hivyo vidogo vinawalinda watu dhidi ya kufichuliwa kwa taarifa binafsi bila sababu ya msingi na upokonyaji haramu wa mawasiliano.
Msingi huu wa kikatiba unaipa ulinzi wa faragha uzito wa kisheria zaidi ya ngazi ya kisheria ya kawaida. Ukiukwaji unaweza kupingwa si tu chini ya DPA bali pia kama ukiukwaji wa haki za kikatiba mbele ya Mahakama Kuu, jambo linalobeba suluhu pana zaidi na ufuatiliaji mkubwa zaidi wa umma.
Data Protection Act, 2019: Vifungu Muhimu

DPA 2019 inatumika kwa mashirika yote, ya umma au ya binafsi, yanayokusanya, kuchakata, au kuhifadhi taarifa binafsi za watu nchini Kenya. Inahusisha uchakataji wa kiotomatiki na wa mkono.
Fasili ya Taarifa Binafsi
Sheria hiyo inafafanua "taarifa binafsi" kama taarifa yoyote inayohusiana na mtu binafsi aliyetambuliwa au anayeweza kutambuliwa. Hii inajumuisha data inayoweza kumtambulisha mtu moja kwa moja au kwa njia isiyo ya moja kwa moja kupitia vitambulisho kama jina, namba ya utambulisho, data ya eneo, au kitambulisho cha mtandaoni.
Taarifa Nyeti Binafsi
DPA inafafanua kundi maalum la "taarifa nyeti binafsi" linalopokea ulinzi wa hali ya juu zaidi. Linajumuisha taarifa zinazofichua:
- Rangi au asili ya kikabila
- Hali ya afya
- Dhamira, imani, au uhusiano wa kidini
- Data ya kijenetiki
- Data ya kibiolojia, ikiwemo alama za vidole, uchambuzi wa DNA, upimaji wa retina, na utambuzi wa sauti
- Maelezo ya mali
- Hali ya ndoa na maelezo ya familia
- Jinsia au mwelekeo wa kijinsia
Kamishna wa Data pia anaweza kuainisha makundi ya ziada pale uchakataji unapoweza kusababisha madhara makubwa kwa wahusika wa data. Muswada unaosubiri wa Data Protection Amendment Bill 2025 unapendekeza kuongeza maoni ya kisiasa na uanachama wa vyama vya wafanyakazi kwenye orodha hii.
Kuchakata taarifa nyeti binafsi kwa kawaida kunahitaji idhini ya wazi au lazima kuingie katika mifano finyu ya kisheria iliyotengwa.
Misingi Halali ya Uchakataji
Hakuna shirika linaloweza kuchakata taarifa binafsi bila msingi halali. Sheria hiyo inatambua misingi sita:
- Idhini ya mhusika wa data, ambayo lazima itolewe kwa hiari, iwe mahususi, ya ufahamu, na isiyo na utata
- Ulazima wa kimkataba, pale uchakataji unapohitajika kutekeleza au kuingia mkataba na mhusika wa data
- Wajibu wa kisheria, pale uchakataji unapohitajika na sheria za Kenya
- Maslahi muhimu, pale uchakataji unapohitajika kulinda maisha ya mtu
- Maslahi ya umma, pale uchakataji unapohitajika kwa majukumu yanayotekelezwa kwa maslahi ya umma
- Maslahi halali ya mdhibiti wa data, yakilinganishwa na haki za mhusika wa data
Mahitaji ya Idhini
DPA inaweka viwango vikali vya idhini halali. Idhini haichukuliwi kuwa imetolewa kwa hiari pale:
- Inadhaniwa kwa sababu mhusika wa data hakupinga
- Inawasilishwa kama sehemu isiyoweza kujadiliwa ya masharti na vigezo
- Mhusika hawezi kukataa au kuondoa idhini bila kupata hasara
- Madhumuni mengi yanaunganishwa bila idhini tofauti kwa kila moja
- Nia iliyopo nyuma ya ukusanyaji wa data haiko wazi
Wahusika wa data wana haki ya kuondoa idhini yao wakati wowote. Kuondoa idhini hakuathiri uhalali wa uchakataji uliofanyika kabla ya kuondolewa kwake, lakini mashirika lazima yasitishe uchakataji unaotegemea idhini mara moja baada ya kupokea taarifa ya kuondolewa kwake.
Kanuni za Utekelezaji za 2021
DPA inaongezewa na seti nne za kanuni zinazotoa mwongozo wa kina wa kiutendaji:
- Data Protection (General) Regulations, 2021: Mfumo mkuu wa kiutendaji unaoshughulikia Tathmini za Athari za Ulinzi wa Data, taratibu za taarifa ya uvunjaji wa data, na mahitaji ya uchakataji
- Registration of Data Controllers and Data Processors Regulations, 2021: Inasimamia mahitaji ya usajili, ada, taratibu, na vyeti
- Complaints Handling and Enforcement Regulations, 2021: Inaweka taratibu za malalamiko, uchunguzi, na hatua za utekelezaji
- Civil Registration Regulations, 2020: Ulinzi mahususi kwa data ya usajili wa raia
Kenya pia ni mshiriki wa Malabo Convention on Cyber Security and Personal Data Protection ya Umoja wa Afrika, ikiimarisha dhamira yake kwa viwango vya kikanda vya ulinzi wa data.
Mnamo Desemba 2024, ODPC ilichapisha rasimu mbili za ziada za kanuni kwa ajili ya mashauriano na wadau: Conduct of Compliance Audit Regulations, ambazo zingeweka vigezo vya uthibitisho kwa wakaguzi wa wadhibiti na wachakataji wa data, na Data Sharing Code ya kusimamia usambazaji wa data wa kimaadili katika sekta za serikali na binafsi.
Mahitaji ya Usajili wa ODPC
Wajibu wa msingi chini ya DPA ni usajili wa lazima wa wadhibiti na wachakataji wa data na ODPC. Hakuna mtu anayeweza kufanya kazi kama mdhibiti au mchakataji wa data bila kujisajili kwanza.
Nani Anayepaswa Kujisajili
Usajili ni wa lazima kwa mashirika ambayo:
- Yana mapato ya mwaka zaidi ya KES 5,000,000, au
- Yana zaidi ya wafanyakazi 10, au
- Yanachakata taarifa binafsi katika sekta za lazima, bila kujali mapato au idadi ya wafanyakazi
Mashirika yasiyo ya kibiashara, taasisi za hisani, mashirika ya kidini, mashirika ya kimataifa, na asasi za kiraia lazima zijisajili ikiwa zinachakata taarifa yoyote binafsi, bila kujali mapato.
Misamaha
Wadhibiti na wachakataji wa data wenye mapato ya mwaka chini ya KES milioni 5 na chini ya wafanyakazi 10 wamesamehewa kutoka usajili, mradi hawafanyi kazi katika sekta ya lazima.
Mchakato wa Usajili na Ada
Maombi yanawasilishwa kielektroniki kupitia tovuti ya ODPC. Ada ya usajili ni KES 4,000, na ada ya kuhuisha ni KES 2,000. ODPC inatoa cheti cha usajili ndani ya siku 14 ikiwa ombi limetimiza mahitaji yote. Vyeti vinasalia halali kwa miezi 24. Wadhibiti na wachakataji lazima waombe kuhuisha angalau siku 30 kabla ya kuisha muda wake.
Kufikia 2025, ODPC ilikuwa imesajili wadhibiti na wachakataji wa data 7,223, ikionyesha uenezaji mpana wa mfumo wa usajili.
Haki za Wahusika wa Data Chini ya DPA
DPA inawapa watu binafsi seti kamili ya haki juu ya taarifa zao binafsi.

Haki ya Kujulishwa
Wahusika wa data wana haki ya kuambiwa jinsi taarifa zao binafsi zitakavyotumika kabla au wakati wa ukusanyaji. Wadhibiti wa data lazima watoe taarifa za faragha zilizo wazi na zinazopatikana kwa urahisi zinazoshughulikia madhumuni ya uchakataji, makundi ya data iliyokusanywa, vipindi vya uhifadhi, na haki za mhusika wa data.
Haki ya Kufikia Data
Watu binafsi wanaweza kuomba uthibitisho wa kama taarifa zao binafsi zinachakatwa na, ikiwa hivyo, kupata nakala ya taarifa hiyo pamoja na taarifa kuhusu madhumuni, makundi ya data, na wapokeaji.
Haki ya Marekebisho
Wahusika wa data wanaweza kuomba marekebisho ya taarifa binafsi za uongo, za kupotosha, au zisizo sahihi zinazohifadhiwa kuwahusu. Mashirika lazima yatende bila kuchelewa isivyofaa.
Haki ya Kufutwa (Erasure)
Watu binafsi wanaweza kuomba kufutwa kwa taarifa zao binafsi pale zisipohitajika tena kwa madhumuni yaliyokusanywa, pale idhini imeondolewa na hakuna msingi mwingine halali uliopo, au pale data imechakatwa kinyume cha sheria.
ODPC imekuwa ikitekeleza haki hii kwa vitendo. Mwaka 2025, ilimpa fidia ya KES 500,000 mfanyakazi wa zamani wa mtoa huduma mkubwa aliyeendelea kupokea ujumbe wa masoko usiotakiwa licha ya kutumia haki yake ya kufutiwa data.
Haki ya Kupinga
Wahusika wa data wanaweza kupinga au kupunguza uchakataji wa taarifa zao binafsi kwa misingi halali, isipokuwa mdhibiti wa data aonyeshe maslahi halali yenye nguvu yanayozidi haki za mtu huyo.
Haki ya Kuhamisha Data
Watu binafsi wana haki ya kupokea taarifa zao binafsi katika muundo ulioandaliwa, unaotumika kwa kawaida, na unaosomeka na mashine, na kuhamisha data hiyo kwenda mdhibiti mwingine. Muswada unaosubiri wa Data Protection Amendment Bill 2025 ungeweka rasmi ulinzi wa maamuzi ya kiotomatiki pamoja na haki hii.
Mahitaji ya Afisa wa Ulinzi wa Data
DPA na General Regulations zinaunda mfumo wa kuteua Maafisa wa Ulinzi wa Data, ingawa wajibu huo si wa lazima kwa wote.
Wakati DPO Anapaswa Kuteuliwa
Mdhibiti au mchakataji wa data lazima ateue DPO ikiwa:
- Ni chombo cha umma
- Kinachakata taarifa nyeti binafsi kwa kiwango kikubwa
- Kina shughuli za msingi zinazohitaji ufuatiliaji wa mara kwa mara na wa kimfumo wa wahusika wa data kwa kiwango kikubwa
Unyumbufu wa Kimuundo
Sheria hiyo haihitaji DPO awe mfanyakazi wa ndani. Kundi la vyombo linaweza kushirikiana DPO mmoja. DPO pia anaweza kushikilia majukumu mengine ndani ya shirika, mradi hakuna mgongano wa maslahi.
Taarifa kwa ODPC
Mashirika yanayotakiwa kuteua DPO lazima yaijulishe ODPC maelezo ya mawasiliano ya DPO huyo. Maelezo ya mawasiliano ya DPO pia lazima yachapishwe kwenye tovuti ya shirika. DPO anatumika kama kiungo kikuu cha mawasiliano kati ya shirika na Kamishna wa Data.
Tathmini za Athari za Ulinzi wa Data
General Regulations, 2021 zinahitaji wadhibiti na wachakataji wa data kufanya DPIA kabla ya kuanza shughuli za uchakataji zenye uwezekano wa kusababisha hatari kubwa kwa haki na uhuru wa wahusika wa data.
Wakati DPIA Inahitajika
Shughuli za uchakataji zenye hatari kubwa zinazosababisha DPIA zinajumuisha:
- Uchakataji wa kiwango kikubwa wa taarifa binafsi kwa madhumuni tofauti na madhumuni ya awali ya ukusanyaji
- Ufuatiliaji wa kimfumo wa maeneo yanayofikiwa na umma
- Uchakataji wa taarifa nyeti binafsi kwa kiwango kikubwa
- Matumizi ya teknolojia mpya zenye hatari kubwa za faragha
Maudhui na Uwasilishaji wa DPIA
DPIA lazima ijumuishe maelezo ya kimfumo ya uchakataji uliopendekezwa, tathmini ya ulazima na uwiano wake, tathmini ya hatari kwa haki na uhuru wa wahusika wa data, na hatua zilizopangwa kushughulikia na kupunguza hatari hizo.
DPIA lazima ziwasilishwe kwa Kamishna wa Data angalau siku 60 kabla ya uchakataji kuanza. Ikiwa DPIA inaonyesha hatari kubwa isiyoweza kupunguzwa vya kutosha, mdhibiti wa data lazima ashauriane na Kamishna wa Data kabla ya kuendelea.
Mahitaji ya Taarifa ya Uvunjaji wa Data
Mfumo wa taarifa ya uvunjaji wa data wa Kenya ni mojawapo ya iliyofafanuliwa vizuri zaidi barani Afrika. General Regulations, 2021 zinaeleza taratibu hizo kwa kina.
Taarifa ya Saa 72 kwa ODPC
Endapo kutatokea uvunjaji wa taarifa binafsi, wadhibiti wa data lazima wamjulishe Kamishna wa Data bila kuchelewa isivyofaa, na si zaidi ya saa 72 baada ya kugundua uvunjaji huo. ODPC imeunda tovuti maalum ya taarifa ya uvunjaji wa data mtandaoni ili kurahisisha mchakato wa kutoa taarifa.
Taarifa ya Saa 48 kutoka kwa Mchakataji kwenda kwa Mdhibiti
Pale mchakataji wa data anapogundua uvunjaji, lazima amjulishe mdhibiti wa data husika ndani ya saa 48 tangu kugundulika. Hii inampa mdhibiti muda wa kutathmini uvunjaji huo na kutimiza tarehe ya mwisho ya saa 72 ya ODPC.
Maudhui ya Taarifa
Taarifa za uvunjaji lazima zijumuishe:
- Maelezo ya aina ya uvunjaji
- Makundi na idadi ya kadirio ya wahusika wa data walioathirika
- Athari zinazoweza kutokea kutokana na uvunjaji
- Hatua zilizochukuliwa au zilizopendekezwa kushughulikia uvunjaji na kupunguza athari zake
Taarifa kwa Watu Walioathirika
Pale uvunjaji unapoweza kusababisha hatari kubwa kwa haki na uhuru wa wahusika wa data, watu walioathirika lazima wajulishwe bila kuchelewa isivyofaa kwa lugha iliyo wazi na rahisi, ikijumuisha ushauri wa kivitendo kuhusu hatua wanazoweza kuchukua kujilinda.
Uhamishaji wa Data Kimataifa

Kenya inaweka mahitaji makali kuhusu uhamishaji wa taarifa binafsi nje ya nchi. Kifungu cha 48 cha DPA kinasimamia uhamishaji unaovuka mipaka.
Sharti la Ulinzi Unaotosha
Kuhamisha taarifa binafsi nje ya Kenya ni marufuku isipokuwa nchi au shirika linalopokea linatoa ulinzi wa data unaotosha. Kabla ya uhamishaji wowote, mdhibiti au mchakataji wa data lazima atoe uthibitisho kwa Kamishna wa Data wa ulinzi unaofaa. Hii inajumuisha:
- Mamlaka inayopokea kuwa na sheria za ulinzi wa data zinazofanana
- Vifungu vinavyofaa vya kimkataba kati ya wahusika
- Kanuni za kampuni zenye nguvu ya kisheria kwa uhamishaji ndani ya kundi moja
- Hatua za usalama za kiufundi kama usimbaji fiche na udhibiti wa ufikiaji
Kwa uhamishaji wa taarifa nyeti binafsi, idhini ya wazi ya mhusika wa data inahitajika zaidi ya sharti la ulinzi.
Sharti la Kuhifadhi Data Nchini
Kifungu cha 50 cha DPA kinaweka wajibu wa kuhifadhi data nchini. Kila mdhibiti au mchakataji wa data lazima ahakikishe uhifadhi wa angalau nakala moja inayotumika ya taarifa binafsi kwenye seva au kituo cha data kilichoko ndani ya Kenya. Kwa taarifa binafsi zilizoainishwa kuwa za kimkakati kwa maslahi ya serikali, uchakataji wote lazima ufanyike kupitia seva zilizoko ndani ya Kenya.
Hii ina athari kubwa kwa uhesabuji wa wingu (cloud computing). Mashirika yanayotumia watoa huduma wa kimataifa wa uwekaji seva lazima yahakikishe miundombinu yao inajumuisha uhifadhi ulioko Kenya.
Sera ya Wingu ya ODPC ya Desemba 2024 inazidi kuhamasisha kuhifadhi data nchini pale vyombo vinapotumia mifumo ya wingu, hasa kwa data nyeti ya serikali na miundombinu muhimu.
Mazungumzo ya Utoshelevu ya EU-Kenya
Mnamo Mei 2024, Kenya na Umoja wa Ulaya walizindua mazungumzo ya utoshelevu, mazungumzo ya kwanza ya aina hiyo barani Afrika. Iwapo yatafanikiwa, uamuzi wa utoshelevu wa Umoja wa Ulaya ungeruhusu taarifa binafsi kutiririka kwa uhuru kutoka Umoja wa Ulaya kwenda Kenya bila ulinzi wa ziada. Data Protection Act ya Kenya inafanana kwa karibu na GDPR, jambo linaloiweka katika nafasi nzuri ya kupata uamuzi mzuri wa utoshelevu. Kufikia mwanzoni mwa 2026, mazungumzo hayo yanaendelea.
Adhabu na Utekelezaji
DPA inaweka mifumo ya utekelezaji ya kiutawala, ya jinai, na ya kiraia, na ODPC imetumia yote matatu.
Adhabu za Kiutawala
Kamishna wa Data anaweza kutoza faini za kiutawala za hadi KES 5,000,000 (kama USD 38,500) au hadi asilimia 1 ya mapato ya mwaka wa fedha uliopita wa shirika, kutegemea kiasi kipi ni kidogo zaidi.
Adhabu za Jinai
Adhabu ya jumla ya jinai kwa makosa chini ya DPA ni faini isiyozidi KES 3,000,000 au kifungo cha hadi miaka 10, au vyote viwili. Makosa mahususi ya jinai yanajumuisha kuchakata taarifa binafsi bila msingi halali, kushindwa kujisajili, kuzuia Kamishna wa Data, na ufichuzi wa taarifa binafsi bila idhini.
Adhabu za Kila Siku
Kwa ukiukwaji unaoendelea, Sheria hiyo inaweka faini za kila siku za hadi KES 10,000 kwa kila siku ambayo uvunjaji unabaki bila kurekebishwa.
Suluhu za Kiraia
Wahusika wa data wanaweza kufungua madai ya kiraia ya fidia mahakamani. Mahakama Kuu ina mamlaka juu ya maombi ya kikatiba yanayohusisha ukiukwaji wa faragha chini ya Ibara ya 31.
Rekodi ya Utekelezaji ya ODPC: Kesi Muhimu na Takwimu
ODPC imehama kwa uamuzi thabiti kutoka hatua ya kuelimisha jamii kwenda utekelezaji wenye athari kubwa za kifedha. Tangu Sheria hiyo ianze kutumika, ODPC imepokea malalamiko 9,061 ya ulinzi wa data, kutatua 84 kupitia Njia Mbadala za Utatuzi wa Migogoro, na kutoa maamuzi 357, taarifa za utekelezaji 134, taarifa za faini 20, na amri za fidia 184 kufikia 2025. Jumla ya faini zilizotozwa kwa biashara zilizidi KES milioni 26 kufikia Septemba 2024.
Kesi Muhimu za Adhabu
Oppo Kenya (Desemba 2022): Taarifa ya kwanza ya faini ya ODPC ilitoza faini ya KES milioni 5 kwa Oppo Kenya baada ya kampuni hiyo kuchapisha picha ya mhusika wa data kwenye akaunti yake ya Instagram kwa madhumuni ya kibiashara bila idhini. Kampuni hiyo pia ilikuwa imeshindwa kudumisha sera ya ulinzi wa data. ODPC ilitangulia faini hiyo kwa taarifa ya utekelezaji Novemba 2022, ambayo Oppo Kenya haikuichukulia hatua.
Whitepath Company Limited (Aprili 2023): Mtoa mikopo wa kidijitali nyuma ya programu za Instarcash na Zuricash alitozwa faini ya KES milioni 5 baada ya malalamiko takriban 150. ODPC ilibaini kuwa Whitepath ilifikia orodha za mawasiliano za wakopaji kinyume cha sheria na kutumia mawasiliano hayo kutuma ujumbe usiotakiwa wa ukusanyaji wa madeni kwa watu wa tatu wasiokuwa na uhusiano wowote na mtoa mkopo huyo. Machi 2025, ODPC ilitoza faini ya pili ya KES 250,000 kwa Whitepath kwa kumuorodhesha mtu kama mdhamini wa mkopo bila idhini na kumfanyia simu za ukusanyaji wa madeni.
Regus Kenya Limited (Aprili 2023): ODPC ilitoza Regus faini ya KES milioni 5 kwa kuendelea kutuma ujumbe wa masoko wa kiotomatiki usiotakiwa kwa mteja wa zamani baada ya kumalizika kwa uhusiano wa kibiashara. Regus ilishindwa kujibu taarifa ya awali ya malalamiko ya ODPC au taarifa ya kukumbusha iliyofuata, jambo lililosababisha taarifa rasmi ya utekelezaji Februari 2023. Katika rufaa, Mahakama Kuu iliunga mkono matokeo ya Kamishna lakini ilipunguza adhabu hadi KES milioni 2.5, ikibaini kuwa kiasi cha awali kilikuwa kikali kwa mtenda kosa kwa mara ya kwanza. Mahakama ilithibitisha kuwa mamlaka ya utekelezaji ya Kamishna yana msingi mzuri chini ya Sheria hiyo.
Roma School (Septemba 2023): Shule hiyo ilitozwa faini ya KES 4,550,000 kwa kuchapisha picha za watoto wadogo kwenye vifaa vyake vya masoko na mitandao ya kijamii bila kupata idhini ya wazazi.
Mulla Pride (Septemba 2023): Mtoa mikopo wa kidijitali huyo alitozwa faini ya KES 2,975,000 kwa kutumia taarifa za mawasiliano za watu wa tatu, zilizopatikana kutoka simu za wakopaji bila idhini, kufanya simu za kutisha za ukusanyaji wa madeni kwa watu ambao hawakuwa wateja wa mtoa mkopo huyo.
Casa Vera Lounge (Septemba 2023): Ilitozwa faini ya KES 1,850,000 kwa kuchapisha picha ya mteja kwenye mitandao ya kijamii bila idhini.
Nova Pioneer Limited (2024): Ilitozwa faini ya KES 950,000 kwa kutumia picha ya mtu kwenye mabango makubwa na tovuti ya kampuni bila idhini.
SBM Bank (2024): Ilitozwa faini ya KES 450,000 kwa kutuma barua pepe za kero 327 kwa muda wa miezi 10 kwa mtu ambaye hakuwa na akaunti benki hiyo.
Worldcoin (Septemba 2023): ODPC ilisimamisha shughuli za Worldcoin nchini Kenya kwa miezi 12 kwa kutozingatia DPA kuhusiana na mazoea ya ukusanyaji wa data ya kibiolojia.
Amri za Fidia
Zaidi ya faini, ODPC imetoa amri za fidia 184 zinazohitaji mashirika kulipa fidia moja kwa moja kwa watu walioathirika. Baadhi ya fidia zimefikia KES 500,000 kwa kila mtu. Mwaka 2025, mashirika ya Kenya kwa pamoja yalilipa zaidi ya KES milioni 30 kama fidia kwa ukiukwaji wa faragha, ikionyesha mabadiliko kuelekea suluhu zinazomnufaisha moja kwa moja mhusika wa data badala ya kuelekea serikalini.
Miundombinu ya Utekelezaji: Ofisi za Kikanda
ODPC imesambaza utekelezaji kupitia ofisi za kikanda. Kufikia mwanzoni mwa 2026, ODPC inaendesha ofisi Mombasa, Nakuru, Kisumu, Garissa, Eldoret, Nyeri, na Machakos. Ofisi ya Eldoret ilizinduliwa katika Siku ya Faragha ya Data ya 2025 tarehe 28 Januari 2025. Mpango Mkakati wa ODPC wa 2025-2029 unataka kupanuka kutoka ofisi saba hadi kumi na tatu za kikanda.
Mpango Mkakati wa ODPC wa 2025-2029
ODPC ilizindua mpango wake wa kimkakati wa miaka mitano mwaka 2025, ukijikita katika nguzo tano: kuimarisha utawala bora, uendelevu wa kitaasisi, kuboresha uzingatiaji wa sheria, usimamizi wa utekelezaji, na kukuza udhibiti binafsi. Mpango huo una gharama ya jumla ya KES bilioni 12.64, ukiwa na pengo la ufadhili la KES bilioni 3.675.
Mabadiliko muhimu ya kitaasisi ni pamoja na kuanzishwa kwa nafasi ya Naibu Kamishna Mkuu wa Data, Wasaidizi wa Kamishna wa Data, na kupanuka hadi ofisi kumi na tatu za kikanda. ODPC ilifanikisha kiwango cha utatuzi cha asilimia 96 kwa malalamiko 6,817 katika miaka yake mitano ya kwanza ya uendeshaji.
Maendeleo ya Hivi Karibuni ya Kisheria
Data Protection Amendment Bill 2025
Serikali ya Kenya iliwasilisha Data Protection Amendment Bill 2025, iliyoandaliwa na Data Privacy and Governance Society of Kenya, ili kuimarisha na kuboresha mfumo huo. Mabadiliko makuu yaliyopendekezwa:
Makundi mapana ya data nyeti: Maoni ya kisiasa na uanachama wa vyama vya wafanyakazi vitaongezwa kwenye orodha ya data nyeti, kuendana na Ibara ya 9(1) ya GDPR.
Adhabu kubwa zaidi za kifedha: Mabadiliko muhimu zaidi ni kurekebisha Kifungu cha 63 kubadilisha "kiasi kipi ni kidogo zaidi" kuwa "kiasi kipi ni kikubwa zaidi" kwa faini za kiutawala. Hii ingehatarisha mashirika makubwa kwa faini za hadi KES milioni 5 au asilimia 1 ya mapato ya mwaka, kutegemea kiasi kipi ni kikubwa zaidi.
Baraza la Rufaa la Ulinzi wa Data: Vifungu vipya vya 64A hadi 64F vingeanzisha baraza maalum la rufaa linalotakiwa kutatua malalamiko ndani ya siku 60, kupunguza mzigo wa kesi za Mahakama Kuu kuhusu masuala ya ulinzi wa data.
Ufikiaji mpana wa malalamiko: Mabadiliko kutoka "mhusika wa data" kwenda "mtu yeyote" katika kifungu cha malalamiko yangeruhusu vyombo vya kisheria, si watu binafsi pekee, kufungua malalamiko na ODPC.
Mamlaka yaliyoimarishwa ya ODPC: Kamishna angepata mamlaka ya kuandaa mifumo ya mafunzo ya ulinzi wa data na kuthibitisha wakufunzi, ikipanua jukumu la ODPC katika kujenga utamaduni wa uzingatiaji wa sheria.
Wajibu imara zaidi wa usalama: Wadhibiti na wachakataji wa data wangehitajika si tu kutekeleza hatua zinazofaa za usalama za kiufundi na kiutawala bali pia kuonyesha uzingatiaji wa Sheria hiyo kwa msingi unaoendelea.
Muswada huo ulikuwa ukisubiri kuzingatiwa na Bunge kufikia mwanzoni mwa 2026.
Artificial Intelligence Bill 2026
Kenya inaelekea kwenye udhibiti kamili wa AI. Rasimu ya Artificial Intelligence Bill 2026, iliyowasilishwa kama Muswada wa Seneti, inaweka mfumo unaotegemea hatari kwa mifumo ya AI, ukiigwa kwa sehemu kutoka EU AI Act. Mifumo ya AI yenye hatari kubwa ingekabiliwa na mahitaji makali ya utawala, uwazi, ulinzi wa data, na uhifadhi wa kumbukumbu.
Muswada huo unaunda Office of the Artificial Intelligence Commissioner kama chombo huru chenye mamlaka ya utekelezaji ikiwemo uwezo wa kuingia majengoni, kukagua mifumo ya AI, kutoa taarifa za utekelezaji, na kutoza faini za kiutawala.
Kwa watendaji wa ulinzi wa data, Muswada huo unaunganisha moja kwa moja utawala wa AI na Data Protection Act, 2019. Watoa huduma na watekelezaji wa mifumo ya AI yenye hatari kubwa lazima wazingatie DPA kuhusiana na uchakataji wa taarifa binafsi, ikiwa ni pamoja na kufanya tathmini za athari za ulinzi wa data kabla ya kutumia mifumo ya AI yenye hatari kubwa. Muswada huo ulikuwa umechapishwa kama Muswada wa Seneti lakini haujawasilishwa kwa mjadala kufikia mwanzoni mwa 2026.
Kenya Information and Communications (Amendment) Bill 2025
Maendeleo mengine ya kisheria yaliyoleta wasiwasi mkubwa wa faragha ni Kenya Information and Communications (Amendment) Bill 2025. Muswada huo unapendekeza kuwataka Watoa Huduma za Intaneti kumpa kila mteja namba ya kipekee inayoweza kufuatiliwa, kukusanya taarifa binafsi za kina ikiwemo majina, namba za utambulisho, na mifumo ya matumizi, na kuwasilisha taarifa hizo kwa Mamlaka ya Mawasiliano Kenya. Muswada huo pia ungempa Katibu wa Baraza la Mawaziri mamlaka ya kuwataka Watoa Huduma za Intaneti kufunga zana za ufuatiliaji zinazowezesha ufuatiliaji wa wakati halisi wa data za watumiaji.
Mashirika ya haki za binadamu na wachambuzi wa kisheria wameeleza wasiwasi mkubwa kuwa vifungu hivyo vinagongana na DPA 2019 na ulinzi wa faragha wa kikatiba wa Ibara ya 31. ICJ Kenya imeueleza Muswada huo kama chombo kinachoweza kutumika kwa ufuatiliaji mkubwa wa watu wengi. Muswada huo ulikuwa chini ya mapitio ya kibunge kufikia Mei 2026.
Orodha ya Uzingatiaji wa Sheria kwa Biashara
Mashirika yanayofanya kazi nchini Kenya au yanayochakata taarifa binafsi za wakazi wa Kenya yanapaswa kuchukua hatua hizi:
- Jisajili na ODPC ikiwa shirika lako linatimiza viwango vya usajili (mapato zaidi ya KES milioni 5, zaidi ya wafanyakazi 10, au uendeshaji katika sekta ya lazima)
- Tambua msingi halali kwa kila aina ya uchakataji wa taarifa binafsi kabla ya ukusanyaji wowote kuanza
- Tekeleza mifumo ya idhini inayotimiza mahitaji ya DPA: ya hiari, mahususi, ya ufahamu, na isiyo na utata
- Chapisha taarifa ya faragha inayoeleza wazi ukusanyaji, matumizi, uhifadhi, usambazaji, na haki za mhusika wa data
- Teua DPO ikiwa shirika lako ni chombo cha umma au linafanya uchakataji wa kiwango kikubwa wa data nyeti au ufuatiliaji wa kimfumo wa kiwango kikubwa
- Weka taratibu za taarifa ya uvunjaji kutimiza tarehe ya mwisho ya saa 72 ya kutoa taarifa kwa ODPC na sharti la taarifa ya saa 48 kutoka kwa mchakataji kwenda kwa mdhibiti
- Fanya DPIA kwa shughuli za uchakataji zenye hatari kubwa angalau siku 60 kabla ya uchakataji kuanza
- Hakikisha uzingatiaji wa kuhifadhi data nchini kwa kudumisha angalau nakala moja inayotumika ya taarifa binafsi kwenye seva zilizoko Kenya
- Andika ulinzi wa uhamishaji unaovuka mipaka kwa taarifa yoyote binafsi inayotumwa nje ya Kenya
- Jibu haraka taarifa za ODPC ili kuepuka kuongezeka kutoka taarifa ya uzingatiaji kwenda taarifa ya utekelezaji kisha taarifa ya faini
- Fanya ukaguzi wa mara kwa mara wa idhini, hasa kwa mawasiliano ya masoko, kuhakikisha uzingatiaji unaoendelea wa maombi ya kufutiwa data na kujitoa
- Toa mafunzo kwa wafanyakazi kuhusu wajibu wa ulinzi wa data, ikiwa ni pamoja na jinsi ya kutambua na kujibu maombi ya haki za wahusika wa data
Frequently Asked Questions
Je, Data Protection Act ya Kenya inatumika kwa makampuni ya kigeni?
Ndiyo. DPA inatumika kwa shirika lolote linalochakata taarifa binafsi za watu walioko Kenya, bila kujali shirika hilo lipo wapi. Makampuni ya kigeni yanayotoa bidhaa au huduma kwa wakazi wa Kenya, au yanayofuatilia mwenendo wa watu walioko Kenya, lazima yazingatie Sheria hiyo. Hii inajumuisha kujisajili na ODPC ikiwa viwango vya usajili vinatimizwa.
Ni muda gani mashirika yanao wa kutoa taarifa ya uvunjaji wa data nchini Kenya?
Wadhibiti wa data lazima wajulishe Office of the Data Protection Commissioner ndani ya saa 72 tangu kugundua uvunjaji wa taarifa binafsi. Wachakataji wa data lazima wajulishe wadhibiti wao wa data ndani ya saa 48 tangu kugundulika. Ikiwa uvunjaji huo unaleta hatari kubwa kwa watu, wahusika wa data walioathirika lazima wajulishwe pia bila kuchelewa isivyofaa kwa lugha rahisi.
Adhabu za juu zaidi chini ya Data Protection Act ya Kenya ni zipi?
Faini za kiutawala zinaweza kufikia hadi KES milioni 5 au asilimia 1 ya mapato ya mwaka, kutegemea kiasi kipi ni kidogo zaidi (Muswada unaosubiri wa Amendment Bill 2025 unapendekeza kubadilisha hili kuwa kiasi kipi ni kikubwa zaidi). Adhabu za jinai zinajumuisha faini za hadi KES milioni 3 na kifungo cha hadi miaka 10. Ukiukwaji unaoendelea unavutia faini za kila siku za hadi KES 10,000. ODPC pia inaweza kuamuru fidia moja kwa moja kwa wahusika wa data walioathirika.
Je, taarifa binafsi zinaweza kuhamishwa nje ya Kenya?
Ndiyo, lakini tu ikiwa nchi au shirika linalopokea linatoa ulinzi wa data unaotosha, na mdhibiti wa data anatoa uthibitisho wa ulinzi huo kwa Kamishna wa Data kabla ya uhamishaji. Kwa taarifa nyeti binafsi, idhini ya wazi kutoka kwa mhusika wa data pia inahitajika. Angalau nakala moja inayotumika ya taarifa yoyote binafsi lazima ibaki imehifadhiwa kwenye seva iliyoko ndani ya Kenya bila kujali imehamishiwa wapi pengine.
Je, usajili na ODPC ni wa lazima kwa biashara zote nchini Kenya?
Usajili ni wa lazima kwa mashirika yenye mapato ya mwaka zaidi ya KES milioni 5 au zaidi ya wafanyakazi 10. Mashirika katika sekta za lazima lazima yajisajili bila kujali ukubwa wake. Mashirika yasiyo ya kibiashara lazima yajisajili ikiwa yanachakata taarifa yoyote binafsi. Biashara ndogo zenye mapato chini ya KES milioni 5 na chini ya wafanyakazi 10 ambazo hazifanyi kazi katika sekta za lazima zimesamehewa.
Je, kila shirika nchini Kenya linahitaji kuteua Afisa wa Ulinzi wa Data?
Hapana. DPO lazima ateuliwe ikiwa shirika ni chombo cha umma, linachakata taarifa nyeti binafsi kwa kiwango kikubwa, au shughuli zake za msingi zinahusisha ufuatiliaji wa mara kwa mara na wa kimfumo wa wahusika wa data kwa kiwango kikubwa. Mashirika mengine yanahamasishwa lakini hayahitajiki kuteua DPO. Pale DPO anapohitajika, shirika lazima liijulishe ODPC maelezo ya mawasiliano ya DPO huyo na kuyachapisha kwenye tovuti yake.
Hali ya mazungumzo ya utoshelevu ya EU-Kenya ni ipi?
Kenya na Umoja wa Ulaya walizindua mazungumzo ya utoshelevu Mei 2024, mazungumzo ya kwanza ya aina hiyo barani Afrika. Uamuzi wa utoshelevu, ukitolewa, ungeruhusu taarifa binafsi kutiririka kwa uhuru kutoka nchi wanachama wa Umoja wa Ulaya kwenda Kenya bila ulinzi wa ziada wa uhamishaji. Mazungumzo hayo yalikuwa yakiendelea kufikia mwanzoni mwa 2026. Data Protection Act ya Kenya inafanana kwa karibu na GDPR, jambo linaloimarisha nafasi yake ya kupata utoshelevu.
ODPC imetekeleza vipi Data Protection Act kivitendo?
ODPC imetoa taarifa za faini 20, maamuzi 357, taarifa za utekelezaji 134, na amri za fidia 184 tangu Sheria hiyo ianze kutumika. Jumla ya faini zilizidi KES milioni 26 kufikia Septemba 2024. Kesi maarufu ni pamoja na faini za juu za KES milioni 5 dhidi ya Oppo Kenya, Whitepath, na Regus Kenya. Uamuzi wa Mahakama Kuu wa 2025 katika rufaa ya Regus uliunga mkono mamlaka ya utekelezaji ya ODPC huku ukipunguza faini hiyo mahususi hadi KES milioni 2.5 kama inayofaa zaidi kwa mtenda kosa kwa mara ya kwanza.
Sources and References
- Kenya Law - Data Protection Act Na. 24 ya 2019 (Maandishi Kamili)(new.kenyalaw.org).gov
- ODPC - Sheria za Ulinzi wa Data Kenya(odpc.go.ke).gov
- Kenya Law Reform Commission - Ibara ya 31 ya Katiba ya Kenya(klrc.go.ke).gov
- ODPC - Maamuzi ya 2025(odpc.go.ke).gov
- ODPC - Maamuzi ya 2026(odpc.go.ke).gov
- ODPC - Data Protection (General) Regulations, 2021(odpc.go.ke).gov
- ODPC - Registration of Data Controllers and Data Processors Regulations, 2021(odpc.go.ke).gov
- ODPC - Complaints Handling and Enforcement Regulations, 2021(odpc.go.ke).gov
- ODPC - Taarifa Tatu za Faini Zenye Jumla ya KES 9,375,000 (Taarifa kwa Vyombo vya Habari)(odpc.go.ke).gov
- Kenya News Agency - ODPC Yafungua Ofisi ya Nne ya Kikanda Rift ya Kaskazini(kenyanews.go.ke).gov
- ODPC - CS Kabogo Azindua Ofisi ya Kikanda ya Nyeri na Mpango Mkakati wa 2025-2029(odpc.go.ke).gov
- EEAS - Kenya na EU Wazindua Mazungumzo ya Kwanza ya Utoshelevu Barani Afrika(eeas.europa.eu).gov
- Kenya Law - Regus Kenya Limited v Data Protection Commissioner (Mahakama Kuu, 2025)(new.kenyalaw.org).gov
- DataGuidance - ODPC Yatoza Regus Faini ya KES Milioni 5 kwa Kutozingatia Sheria(dataguidance.com)
- Wamae and Allen LLP - Muhtasari wa Data Protection Amendment Bill 2025(wamaeallen.com)
- Digital Policy Alert - DPA Digital Digest Kenya, Toleo la 2025(digitalpolicyalert.org)
- CADMUS Cyber - Biashara za Kenya Zatozwa Zaidi ya KES Milioni 26 kwa Ukiukwaji wa Faragha ya Data(cadmuscyber.com)
- ITIF - Kanuni za Uhamishaji wa Data Kimataifa za Kenya(itif.org)
- TechCabal - Whitepath Yatozwa Faini Mara ya Pili kwa Kukiuka Sheria za Faragha ya Data(techcabal.com)
- TechTrends Kenya - ODPC Yaashiria Utekelezaji Mkali Zaidi wa Faragha, Malipo Yafikia Sh Milioni 30(techtrendske.co.ke)
- Vellum Kenya - Mpango Mkakati wa ODPC wa 2025-2029(vellum.co.ke)
- Bowmans Law - Kenya Artificial Intelligence Bill 2026(bowmanslaw.com)