Zákon o ochraně dat Nigérie 2023: Průvodce souladem se souhlasem s cookies pro vydavatele v roce 2026

Nigeria po léta fungovala podle Nařízení o ochraně dat Nigérie 2019 (NDPR), subsidiárního nařízení vydaného NITDA, které ukládalo povinnosti ve stylu GDPR bez plné zákonné pravomoci řádného zákona o ochraně dat. Zákon o ochraně dat Nigérie 2023 (NDPA) to změnil. Přijatý Národním shromážděním a podepsaný v June 2023 je zákon prvním komplexním zákonem o ochraně dat Nigérie a zřídil Nigerijskou komisi pro ochranu dat (NDPC) jako samostatný dozorový orgán s výraznými pravomocemi k prosazování, které jsou materiálně silnější než NITDA za starého režimu. Pro vydavatele, provozovatele SaaS a dodavatele ad-tech obsluhující nigerijský provoz — trh, který se rychle rozrostl s rozvojem fintechů, e-commerce a širší digitální ekonomiky západní Africa — NDPA resetovala standardy souladu. Tato příručka se zabývá tím, co zákon požaduje, jak jej NDPC interpretoval pro online sledování a jak praktická práce na souladu vypadá v roce 2026.

Přehled NDPA

NDPA je strukturovaná kolem šesti základních principů, které jasně korespondují s Article 5 GDPR: zákonnost, spravedlnost a transparentnost, omezení účelu, minimalizace dat, přesnost, omezení uložení a bezpečnost. Zákon se vztahuje na každého správce nebo zpracovatele dat, který zpracovává osobní údaje osob nacházejících se v Nigeria, s územní působností zrcadlící Article 3 GDPR. Offshore vydavatel obsluhující nigerijské návštěvníky jednoznačně spadá do působnosti bez ohledu na to, kde je vydavatel usazen.

Zákonné základy zákona podle Section 25 jsou rovněž povědomé: souhlas, plnění smlouvy, právní povinnost, životně důležité zájmy, veřejný zájem a oprávněný zájem. Pro online sledování jsou relevantními základy souhlas a — za úzkých, dobře zdokumentovaných okolností — oprávněný zájem. Obecná směrnice pro aplikaci a implementaci (GAID) NDPC z roku 2025 objasnila, že standard souhlasu pro nezbytně nutné cookies je funkčně totožný s GDPR: svobodně udělený, konkrétní, informovaný, jednoznačný a možný odvolat stejně snadno, jako byl uděleny.

Přechod z NDPR na NDPA

Tři změny mezi starým režimem NDPR a novým NDPA jsou pro online vydavatele nejdůležitější.

Zákonné pravomoci k prosazování

Pravomoc NITDA pod NDPR se opírala o subsidiární nařízení, které omezovalo sílu prostředků nápravy, které mohla agentura prosazovat. NDPC funguje na základě primárních právních předpisů a může vydávat příkazy k dodržování předpisů, ukládat správní pokuty vázané na procento ročních příjmů a postupovat trestní oznámení za úmyslná porušení. Přechod od regulačního přesvědčování k zákonnému prosazování je nejvýznamnější provozní změnou.

Povinné povinnosti pověřence pro ochranu osobních údajů

NDPA vyžaduje, aby správci dat překračující stanovené prahové hodnoty zpracování jmenovali pověřence pro ochranu osobních údajů (DPO) a zaregistrovali se u NDPC. Prahové hodnoty zahrnují většinu významných online vydavatelů a provozovatelů SaaS obsluhujících nigerijské uživatele.

Rámec přeshraničních přenosů

NDPA kodifikovala pravidla přeshraničních přenosů, s nimiž NDPR zacházela jen volně. Sections 41-43 požadují, aby přenosy do nedostatečně bezpečných jurisdikcí probíhaly na základě jednoho z několika vyjmenovaných mechanismů — rozhodnutí o přiměřenosti, závazná podniková pravidla, smluvní záruky nebo konkrétní výjimky — přičemž NDPC zveřejňuje seznam schválených nástrojů.

Jak NDPA zachází s cookies a online sledováním

NDPA neobsahuje žádné ustanovení specifické pro cookies; povinnosti ohledně souhlasu a informování vyplývají z obecného rámce. GAID NDPC a řada veřejných pokynů publikovaných v průběhu let 2024 a 2025 formulovaly konkrétní očekávání pro online sledování.

Potvrzující souhlas s neesenciálními cookies

Postoj NDPC je v souladu s pracovní skupinou EDPB pro cookie bannery a rovnocennými pozicemi srovnatelných afrických regulátorů (ODPC Keni, regulátor informací Jižní Afriky). Scrollování jako souhlas, pokračující používání jako souhlas a předem zaškrtnutá políčka jsou výslovnými vadami.

Granulární ovládání kategorií

Bannery musí oddělovat nezbytně nutné cookies od analytických a od marketingových, přičemž každá kategorie musí být nezávisle ovladatelná. Balíkové „přijmout vše" bez granularity je považováno za selhání kritéria „konkrétnosti" standardu souhlasu.

Zdokumentovaný právní základ

Section 26 NDPA kodifikuje odpovědnost — správci musí být schopni na vyžádání prokázat svůj právní základ pro každou zpracovatelskou činnost. Pro nasazení cookies se to překládá jako záznam souhlasu v auditní kvalitě: časové razítko, verze banneru, volba uživatele a uplatňovaný právní základ pro každou aktivovanou kategorii.

Zveřejnění přeshraničních přenosů

Pro cookies, které směrují data k dodavatelům mimo Nigeria — většina dodavatelů ad-tech se sídlem v USA, analytické platformy se sídlem v EU — musí oznámení o ochraně soukromí identifikovat příjemce přenosu a záruky, na jejichž základě přenos probíhá. Obecná formulace o „využíváme třetí strany" nesplňuje očekávání NDPC.

Prosazovací postoj Nigerijské komise pro ochranu dat

NDPC se od svého vzniku v roce 2023 záměrně orientuje na veřejnost. Její prosazovací postoj sleduje tři pozorovatelné vzorce.

Profilové rané případy

NDPC upřednostnila viditelné rané případy proti známým provozovatelům, aby stanovila precedens a signalizovala vážnost. Několik provozovatelů fintechů a telekomunikačních společností obdrželo v letech 2024 a 2025 příkazy k dodržování předpisů s veřejnou komunikací ohledně nápravy.

Sektorové přezkumy

Kromě případů iniciovaných stížnostmi provedl NDPC sektorové přezkumy provozovatelů fintechů, zdravotní péče a e-commerce. Přezkumy obvykle začínají žádostí o dokumentaci (oznámení o ochraně soukromí, záznamy o souhlasech, seznamy dodavatelů) a eskalují na základě toho, co dokumentace odhalí.

Koordinace s africkými a evropskými regulátory

NDPC se účastní pracovního proudu datových toků Continental Free Trade Area African Union a udržuje pracovní vztahy s EDPB a hlavními národními dozorovými orgány. Přeshraniční šetření zahrnující nigerijský a evropský provoz jsou stále častěji řešena prostřednictvím koordinovaných postupů.

Praktický kontrolní seznam souladu

Šest konkrétních otázek, na které je třeba odpovědět pro jakýkoli cookie banner obsluhující nigerijský provoz.

Místo Nigérie v zásobníku více jurisdikcí

Nigeria je největší digitální trh v Africa podle počtu uživatelů a NDPA se stále více stává vzorem, na který se odkazují jiné africké jurisdikce při modernizaci vlastních rámců. Architektura souladu vybudovaná podle evropských standardů zvládá nigerijský soulad se stejným druhem menších konfiguračních úprav, jaké vyžaduje Nový Zéland: jmenování DPO tam, kde se uplatňují prahové hodnoty, dokumentace přenosů ve stylu NDPC a anglicky psaná oznámení respektující nigerijské jazykové konvence. Pro vydavatele budující panafrickéoperace leží NDPA vedle Kenya DPA 2019, jihoafrické POPIA a vznikajícího egyptského rámce jako čtyři operativně nejvýznamnější africké režimy. Správné dodržování nigerijských předpisů je smysluplné na vlastním trhu a signalizuje kontinentální připravenost pro zbytek světa.

← Blog Číst vše →