Кіраўніцтва па адпаведнасці згоды на cookie Закону Нігерыі пра абарону даных 2023 года для выдаўцоў у 2026 годзе

Нігерыя гадамі працавала пад Рэгламентам Нігерыі пра абарону даных 2019 года (NDPR), дапаможным рэгламентам, выпушчаным NITDA, які накладваў абавязацельствы ў стылі GDPR без поўнай заканадаўчай улады належнага закона пра абарону даных. Закон Нігерыі пра абарону даных 2023 года (NDPA) змяніў гэта. Прыняты Нацыянальным сходам і падпісаны ў чэрвені 2023 года, Закон з'яўляецца першым комплексным статутам Нігерыі пра абарону даных, і ён заснаваў Камісію Нігерыі па абароне даных (NDPC) як самастойны нагляднае орган з паўнамоцтвамі праваўжывання, істотна больш моцнымі, чым у NITDA пры ранейшым рэжыме. Для выдаўцоў, аператараў SaaS і ad-tech пастаўшчыкоў, якія абслугоўваюць нігерыйскі трафік — рынак, які хутка пашырыўся з ростам фінтэху, электроннай камерцыі і больш шырокай лічбавай эканомікі Заходняй Афрыкі — NDPA пераўсталяваў планку адпаведнасці. Гэта кіраўніцтва разглядае, што Закон патрабуе, як NDPC інтэрпрэтаваў яго для анлайн-адсочвання і як выглядае практычная праца па адпаведнасці ў 2026 годзе.

NDPA у агульных рысах

NDPA структураваны вакол шасці асноўных прынцыпаў, якія чыста супастаўляюцца са Артыкулам 5 GDPR: законнасць, справядлівасць і празрыстасць, абмежаванне мэты, мінімізацыя даных, дакладнасць, абмежаванне захоўвання і бяспека. Закон прымяняецца да любога кантралёра даных або апрацоўшчыка, які апрацоўвае персанальныя даныя асоб, якія знаходзяцца ў Нігерыі, з экстэрытарыяльным ахопам, які адлюстроўвае Артыкул 3 GDPR. Афшорны выдавец, які абслугоўвае нігерыйскіх наведвальнікаў, трапляе прама ў вобласць прымянення незалежна ад таго, дзе выдавец заснаваны.

Прававыя асновы Закона згодна з Раздзелам 25 таксама знаёмыя: згода, выкананне дагавора, юрыдычнае абавязацельства, жыццёвыя інтарэсы, грамадскі інтарэс і законны інтарэс. Для анлайн-адсочвання рэлевантныя асновы — гэта згода і — у вузкіх, добра задакументаваных абставінах — законны інтарэс. Агульная дырэктыва прымянення і рэалізацыі NDPC 2025 года (GAID) растлумачыла, што стандарт згоды для неістотных cookie функцыянальна ідэнтычны стандарту GDPR: свабодна дадзеная, канкрэтная, інфармаваная, недвухсэнсоўная і здольная быць адкліканай гэтак жа лёгка, як была дадзена.

Пераход ад NDPR да NDPA

Тры змены паміж старым рэжымам NDPR і новым NDPA маюць найбольшае значэнне для анлайн-выдаўцоў.

Заканадаўчыя паўнамоцтвы праваўжывання

Улада NITDA пры NDPR абапіралася на дапаможны рэгламент, што абмяжоўвала сілу сродкаў прававой абароны, якія агенцтва магло пераследаваць. NDPC дзейнічае пад першасным заканадаўствам і можа выдаваць прадпісанні пра адпаведнасць, накладваць адміністрацыйныя штрафы, прывязаныя да працэнта гадавога даходу, і пераследаваць крымінальныя накірункі за наўмысныя парушэнні. Зрух ад рэгулятарнага пераканання да заканадаўчага праваўжывання — самае значнае аперацыйнае змяненне.

Абавязковыя абавязкі супрацоўніка па абароне даных

NDPA патрабуе ад кантралёраў даных вышэй пэўных парогаў апрацоўкі прызначыць супрацоўніка па абароне даных (DPO) і зарэгістравацца ў NDPC. Парогі ахопліваюць большасць значных анлайн-выдаўцоў і аператараў SaaS, якія абслугоўваюць нігерыйскіх карыстальнікаў.

Сістэма трансгранічнай перадачы

NDPA кадыфікаваў правілы трансгранічнай перадачы, якія NDPR трактаваў толькі свабодна. Раздзелы 41-43 патрабуюць, каб перадачы ў неадэкватныя юрысдыкцыі праходзілі пад адным з некалькіх пералічаных механізмаў — абазначэнне адэкватнасці, абавязковыя карпаратыўныя правілы, дагаворныя гарантыі або канкрэтныя адступленні — пры гэтым NDPC публікуе спіс ухваленых інструментаў.

Як NDPA трактуе cookie і анлайн-адсочванне

NDPA не змяшчае спецыфічнага для cookie палажэння; абавязацельствы па згодзе і інфармацыі вынікаюць з агульнай сістэмы. GAID NDPC і серыя публічных кіруючых нататак, апублікаваных на працягу 2024 і 2025 гадоў, сфармулявалі канкрэтныя чаканні для анлайн-адсочвання.

Сцвярджальная згода для неістотных cookie

Пазіцыя NDPC узгадняецца з Мэтавай групай па банерах cookie EDPB і эквівалентнымі пазіцыямі супастаўных афрыканскіх рэгулятараў (ODPC Кеніі, Інфармацыйны рэгулятар Паўднёвай Афрыкі). Пракрутка-як-згода, працяг-выкарыстання-як-згода і загадзя адзначаныя сцяжкі з'яўляюцца яўнымі дэфектамі.

Дэталёвыя элементы кіравання катэгорыямі

Банеры павінны аддзяляць строга неабходныя cookie ад аналітыкі і ад маркетынгу, пры гэтым кожная катэгорыя незалежна кантралюемая. Аб'яднанае прыняць-усё без гранулярнасці разглядаецца як правал «канкрэтнага» аспекта стандарту згоды.

Задакументаваная прававая аснова

Раздзел 26 NDPA кадыфікуе падсправаздачнасць — кантралёры павінны быць здольны прадэманстраваць сваю прававую аснову для кожнай дзейнасці па апрацоўцы па патрабаванні. Для разгортванняў cookie гэта перакладаецца ў лагіраванне згоды ўзроўню аўдыту: адзнака часу, версія банера, выбар карыстальніка і прававая аснова, заяўленая для кожнай спрацоўваючай катэгорыі.

Раскрыццё трансгранічнай перадачы

Для cookie, якія маршрутызуюць даныя пастаўшчыкам за межамі Нігерыі — большасць ad-tech пастаўшчыкоў на базе ЗША, аналітычныя платформы на базе ЕС — апавяшчэнне пра прыватнасць павінна ідэнтыфікаваць атрымальніка перадачы і гарантыю, пад якой перадача праходзіць. Агульная фармулёўка пра «мы выкарыстоўваем трэція бакі» не задавальняе чаканні NDPC.

Пазіцыя праваўжывання Камісіі Нігерыі па абароне даных

NDPC была наўмысна публічна-арыентаванай з моманту яе стварэння ў 2023 годзе. Яе пазіцыя праваўжывання прытрымліваецца трох назіральных патэрнаў.

Гучныя ранні справы

NDPC прыярытызавала бачныя ранні справы супраць вядомых аператараў для ўстанаўлення прэцэдэнта і сігналізацыі сур'ёзнасці. Некалькі фінтэх- і тэлекам-аператараў атрымалі прадпісанні пра адпаведнасць у 2024 і 2025 гадах з публічнымі камунікацыямі вакол выпраўлення.

Сектаральныя праверкі

Акрамя спраў, рухаемых скаргамі, NDPC правяла сектаральныя агляды фінтэх-, медыцынскіх і e-commerce аператараў. Праверкі звычайна пачынаюцца з запыту дакументацыі (апавяшчэнні пра прыватнасць, журналы згоды, спісы пастаўшчыкоў) і эскалуюцца на аснове таго, што дакументацыя раскрывае.

Каардынацыя з афрыканскімі і еўрапейскімі рэгулятарамі

NDPC удзельнічае ў працоўным накірунку патоку даных Кантынентальнай зоны свабоднага гандлю Афрыканскага саюза і падтрымлівае працоўныя адносіны з EDPB і буйнымі нацыянальнымі DPA. Трансгранічныя расследаванні, якія закранаюць нігерыйскі і еўрапейскі трафік, усё часцей апрацоўваюцца праз скаардынаваныя працэдуры.

Практычны кантрольны спіс адпаведнасці

Шэсць канкрэтных пытанняў для любога банера cookie, які абслугоўвае нігерыйскі трафік.

Дзе Нігерыя ўпісваецца ў шматюрысдыкцыйны стэк

Нігерыя — найбуйнейшы лічбавы рынак у Афрыцы па колькасці карыстальнікаў, і NDPA усё часцей з'яўляецца шаблонам, на які паказваюць іншыя афрыканскія юрысдыкцыі пры мадэрнізацыі ўласных сістэм. Архітэктура адпаведнасці, пабудаваная па еўрапейскіх стандартах, апрацоўвае нігерыйскую адпаведнасць з тым жа відам нязначных канфігурацыйных карэкціровак, якія патрабуе Новая Зеландыя: прызначэнне DPO там, дзе прымяняюцца парогі, дакументацыя перадачы ў стылі NDPC і англамоўныя раскрыцці, якія паважаюць нігерыйскія лінгвістычныя канвенцыі. Для выдаўцоў, якія будуюць у накірунку панафрыканскіх аперацый, NDPA стаіць побач з DPA Кеніі 2019, POPIA Паўднёвай Афрыкі і развіваючайся сістэмай Егіпта як чатыры найбольш аперацыйна значныя афрыканскія рэжымы. Правільнае выкананне нігерыйскай адпаведнасці значнае на ўласным рынку і сігналізуе кантынентальную гатоўнасць для астатніх.

← Блог Чытаць усё →